Почему NFT блокирует соединение по FTP?

Question

[Станислав]

Подскажите почему не пускает по FTP?
У меня дефолтные настройки proftpd, порт 21
Правила в NFT

table inet main {
        set LANv4 {
                type ipv4_addr
                flags interval
                elements = { 10.0.0.0/8, 169.254.0.0/16,
                             172.16.0.0/12, 192.168.0.0/16 }
        }

        set LANv6 {
                type ipv6_addr
                flags interval
                elements = { fd00::/8,
                             fe80::/10 }
        }

        chain input_lan {
                meta l4proto { tcp, udp } th dport 2049 accept comment "Accept NFS"
                udp dport 137 accept comment "Accept NetBIOS Name Service (nmbd)"
                udp dport 138 accept comment "Accept NetBIOS Datagram Service (nmbd)"
                tcp dport 139 accept comment "Accept NetBIOS Session Service (smbd)"
                tcp dport 445 accept comment "Accept Microsoft Directory Service (smbd)"
                udp sport { 68, 4011 } udp dport { 67, 4011 } accept comment "Accept PXE"
                udp dport 69 accept comment "Accept TFTP"
        }

        chain input {
                type filter hook input priority filter; policy drop;
                iif "lo" accept comment "Accept any localhost traffic"
                ct state invalid drop comment "Drop invalid connections"
                fib daddr . iif type != { local, broadcast, multicast } drop comment "Drop packets if the destination IP address is not configured on the incoming interface (strong host model)"
                ct state { established, related } accept comment "Accept traffic originated from us"
                meta l4proto { icmp, ipv6-icmp } accept comment "Accept ICMP"
                ip protocol igmp accept comment "Accept IGMP"
                udp dport 5353 ip6 daddr ff02::fb accept comment "Accept mDNS"
                udp dport 5353 ip daddr 224.0.0.251 accept comment "Accept mDNS"
                ip6 saddr @LANv6 jump input_lan comment "Connections from private IP address ranges"
                ip saddr @LANv4 jump input_lan comment "Connections from private IP address ranges"
                tcp dport 22 accept comment "Accept SSH on port 22"
                tcp dport 21 ct state { established, new } counter packets 2 bytes 104 accept comment "Accept FTP on port 21"
                tcp dport 631 accept comment "Accept IPP/IPPS on port 631"
                meta l4proto { tcp, udp } th dport { 80, 443, 8008, 8080 } accept comment "Accept HTTP (ports 80, 443, 8008, 8080)"
                udp sport 68 udp dport 67 ip saddr 0.0.0.0 ip daddr 255.255.255.255 accept comment "Accept DHCPDISCOVER (for DHCP-Proxy)"
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
        }

        chain output {
                type filter hook output priority filter; policy accept;
        }
}

Answer 1

[Valentin Barbolin]

Загружаем модули-помощники для файервола и также добавляем их в автозагрузку:

sudo modprobe -v nf_nat_ftp
sudo modprobe -v nf_nat_sip
sudo modprobe -v nf_nat_tftp

sudo bash -c 'echo "nf_nat_ftp" >> /etc/modules'
sudo bash -c 'echo "nf_nat_sip" >> /etc/modules'
sudo bash -c 'echo "nf_nat_tftp" >> /etc/modules'

https://habr.com/ru/companies/astralinux/articles/...

Answer 2

[Zerg89]

iptables -I INPUT -p tcp --match multiport --dports 20,21,60000:65535 -j ACCEPT

20 порт для данных
21 порт для команд
60000:65535 для режима passive
Возможно также из-за jump запрос уходит в другую таблицу, хотя по идее должен возвращатся если логикой другой таблицы не дропается

Также нужно добавить related так как протокол использует передачу по другим портам также как и sip

ct state { established : accept, related: accept, new: accept}