Где ошибка в правилах iptables?

Question

[Vitaly]

Из-за неправильной настройки iptables соединение ftp не происходит:

Status:      	Connecting to 100.100.100.100:21...
Status:      	Connection established, waiting for welcome message...
Status:      	Initializing TLS...
Status:      	Verifying certificate...
Status:      	TLS connection established.
Status:      	Logged in
Status:      	Retrieving directory listing...
Command:	PWD
Response: 	257 "/" is the current directory
Command:	TYPE I
Response: 	200 Type set to I
Command:	PASV
Response: 	227 Entering Passive Mode (100,100,100,100,157,29).
Command:	MLSD
Error:        	The data connection could not be established: ECONNREFUSED - Connection refused by server

Но я не понимаю, где я ошибся, какой ещё порт нужно открыть? Когда я удаляю все правила из цепочек и указываю политику ACCEPT, ftp работает корректно. Т.е. проблема точно в фаерволе.

Normal FTP uses port 21(TCP/UDP) for control and port 20(TCP/UDP) for data. FTP over TLS (FTPS) uses port 990(TCP/UDP) for control and port 989(TCP/UDP) for data

Все эти порты открыты, вот мой конфиг:

*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

# Allows SSH connections
# The --dport number is the same as in /etc/ssh/sshd_config
-A INPUT -p tcp -m state --state NEW --dport 48122 -j ACCEPT

# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

-A INPUT -p tcp -m multiport --dports 110,143,993,995,587,465,25 -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p udp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 1500  -j ACCEPT
-A INPUT -p tcp --dport 3306  -j ACCEPT
-A INPUT -p tcp --dport 53  -j ACCEPT
-A INPUT -p udp --dport 53  -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,990,989 -j ACCEPT
-A INPUT -p udp -m multiport --dports 20,990,989 -j ACCEPT

# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

--policy INPUT DROP
--policy FORWARD DROP

COMMIT

Где я ошибся?

Comments

[Drill]

покажите вывод команды lsmod | grep conntrack_ftp

[Vitaly]

Drill, пустой вывод

[Drill]

какая ось?
хоть какой-то conntrack есть?
lsmod | grep conntrack

[Vitaly]

Drill,
nf_conntrack_ipv4 16384 2
nf_defrag_ipv4 16384 1 nf_conntrack_ipv4
xt_conntrack 16384 2
nf_conntrack 114688 2 nf_conntrack_ipv4,xt_conntrack
x_tables 36864 11 xt_LOG,xt_multiport,ipt_REJECT,ip_tables,iptable_filter,xt_set,xt_tcpudp,xt_limit,ip6table_filter,xt_conntrack,ip6_tables

[Vitaly]

Drill,
Debian GNU/Linux 9.9 (stretch)

[Drill]

выполни команду: modpobe nf_conntrack_ftp
и попробуй соединиться с FTP

[Vitaly]

Drill, выполнил, но та же ошибка при соединении:

Status: Connecting to 100.100.100.100:21...
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Logged in
Status: Retrieving directory listing...
Command: PWD
Response: 257 "/" is the current directory
Command: TYPE I
Response: 200 Type set to I
Command: PASV
Response: 227 Entering Passive Mode (100,100,100,100,167,99).
Command: MLSD
Error: The data connection could not be established: ECONNREFUSED - Connection refused by server

Answer 1

[Andrey Shatokhin]

Если надо ftp - гуглите "iptables passive ftp"

А лучше мигруйте на sftp.

Comments

[Vitaly]

Спасибо, скорее всего так и поступлю. Но хочется сначала понять, что я сделал не так с этим конфигом. В упор не вижу ошибку

[Vitaly]

Спасибо, за подсказку насчет passive mode. Добавил диапазон портов в конфиге proftp и открыл их в iptables, все заработало
-A INPUT -p tcp -m tcp --dport 49152:65534 -j ACCEPT

Answer 2

[Zzzz9]

Normal FTP uses port 21(TCP/UDP) for control and port 20(TCP/UDP) for data. FTP over TLS (FTPS) uses port 990(TCP/UDP) for control and port 989(TCP/UDP) for data

-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p udp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT

А где тут 20 порт?
А вот увидел

-A INPUT -p tcp -m multiport --dports 20,990,989 -j ACCEPT
-A INPUT -p udp -m multiport --dports 20,990,989 -j ACCEPT

Comments

[Zzzz9]

A --policy chain OUTPUT?

[Vitaly]

Zzzz9, действительно, забыл дописать. Но она ACCEPT

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere

[Zzzz9]

А можно sudo netstat -tunl?

[Vitaly]

Zzzz9,
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:49122 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:49222 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN
tcp 0 0 100.100.100.100:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 100.100.100.10:1500 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3389 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN
tcp6 0 0 :::49122 :::* LISTEN
tcp6 0 0 :::587 :::* LISTEN
tcp6 0 0 ::1:783 :::* LISTEN
tcp6 0 0 :::80 :::* LISTEN
tcp6 0 0 :::465 :::* LISTEN
tcp6 0 0 :::21 :::* LISTEN
tcp6 0 0 :::53 :::* LISTEN
tcp6 0 0 :::25 :::* LISTEN
tcp6 0 0 ::1:953 :::* LISTEN
tcp6 0 0 :::443 :::* LISTEN
tcp6 0 0 :::3389 :::* LISTEN
udp 0 0 100.100.100.100:53 0.0.0.0:*
udp 0 0 100.100.100.100:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 100.100.100.100:123 0.0.0.0:*
udp 0 0 100.100.100.100:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp6 0 0 :::53 :::*
udp6 0 0 2a00:dd00:1:2:230:4:123 :::*
udp6 0 0 2a00:dd00:1:10:230::123 :::*
udp6 0 0 2a00:dd00:1:11:230::123 :::*
udp6 0 0 2a00:dd00:1:12:230::123 :::*
udp6 0 0 fe80::100:48ff:fe33:123 :::*
udp6 0 0 ::1:123 :::*
udp6 0 0 :::123 :::*