iptables Theo dõi kết nối FTP không hoạt động

Tôi hy vọng ai đó có thể chỉ cho tôi đi đúng hướng ở đây.

Chạy proftpd (có hỗ trợ tls) trên IP công cộng.

Máy khách FTP kết nối, nhưng không thể thực hiện danh sách thư mục. Khi tôi thay đổi chính sách "INPUT" trên iptables thành CHẤP NHẬN, nó sẽ hoạt động.

Sau đây là các quy tắc iptables có liên quan của tôi:

$IPTABLES -A INPUT -i eno1 -s 0/0 -d x.x.x.x -p tcp --sport 1024:65535 -m multiport --dports 20,21,989,990 -m state --state MỚI,ĐÃ THÀNH LẬP -j CHẤP NHẬN
$IPTABLES -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d x.x.x.x --dport 1024:65535 -m state --state ĐÃ THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN

Tôi đã bật mô-đun connection_tracking.

máy chủ ~ # lsmod | grep nf_conntra
nf_conntrack_ftp 24576 3
nf_conntrack 176128 8 xt_conntrack,nf_nat,xt_state,xt_nat,xt_helper,nf_conntrack_ftp,xt_CT,xt_MASQUERADE
nf_defrag_ipv6 24576 1 nf_conntrack
nf_defrag_ipv4 16384 1 nf_conntrack
libcrc32c 16384 2 nf_conntrack,nf_nat

Tôi cũng đã bật nf_conntrack_helper trong/proc

máy chủ ~ # mèo /proc/sys/net/netfilter/nf_conntrack_helper
1

proftpd (có hỗ trợ tls)

Hỗ trợ TLS đó có lẽ là thủ phạm.

Thông thường trong tường lửa thông minh khi bạn cho phép FTP, bạn cần mở cổng cho kết nối điều khiển, TCP 21 và sau đó, trong giao thức FTP văn bản rõ ràng, các mô-đun conntrack có thể quét và phát hiện HẢI CẢNG phản ứng. Sau đó, mô-đun trình trợ giúp conntrack FTP sẽ tự động mở số cổng được máy chủ FTP gán cho máy khách cụ thể đó, nếu có liên quan, cho phép bỏ kiểm soát truy cập chi tiết.

Khi kết nối được mã hóa bằng TLS, tường lửa không thể phát hiện phản hồi PORT nữa và do đó không tự động mở cổng được chỉ định. Giải pháp cho điều đó là:

• sửa phạm vi cổng mà máy chủ FTP sẽ sử dụng cho các kết nối thụ động thành một phạm vi nhỏ
  PassivePorts min-passv-port max-passv-port

• trong tường lửa của bạn, hãy mở cả cổng 21 và dải cổng cố định đó để kết nối dữ liệu