Existe alguma maneira de aprender o intervalo de portas do servidor FTP "Passivo" que não está sob minha autoridade. É possível definir o intervalo no arquivo de configuração. Por exemplo, dentro de vsftpd.conf :
pasv_min_port=25000
pasv_max_port=25500
#pasv_min_port=0
#pasv_max_port=0 (any port)
Como eu quero aplicar um firewall OUTPUT muito restrito (iptables) no meu Linux Terminal Server, preciso saber o intervalo de portas do servidor remoto. O FTP suporta a exposição de informações de intervalo de portas, que os clientes podem usar?
Eu também estou aberto para qualquer outra solução possível, exceto a seguinte, onde eu assumo o endereço IP do servidor como 10.1.1.1:
-A OUTPUT -d 10.1.1.1 -j ACCEPT
Obrigado pelo seu interesse ...
Atenciosamente
EDITAR
Obrigado por @ aaron-copley , @ martin-prikryl , @ user3590719
Responda à questão principal, o FTP não expõe o intervalo de portas passivo aos clientes.
Solução de necessidade está carregando módulo de rastreamento de conexão do netfilter para FTP.
ip_conntrack_ftp (Module alias for CentOS/Red Hat : nf_conntrack_ftp)
Exemplo de configuração de trabalho para o Red Hat 7:
/ etc / sysconfig / iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"
Regras do iptables
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.1.1.1/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -j DROP
Finalmente, carregue manualmente o módulo ou reinicie o iptables.service.
Eu encontrei isso em uma resposta anterior
Configurando o iptables do Linux para conexões no modo FTP PASV
Isto: link
e isto:
Em todos eles você vai querer usar o ip_conntrack_ftp e a regra relacionada em suas regras do iptables para manter as conexões passivas abertas.
Tags iptables ftp vsftpd nf-conntrack