( muszi | 2024. 09. 07., szo – 04:30 )

A tűzfalon a conntrack modulok be vannak töltve.

Régebbi kerneleknél elég volt egy nf_conntrack_helper=1 paraméter az nf_conntrack modulnak, a 6.0-s kerneltől ez megszűnt, a raw táblában kell hozzákapcsolni a CT targettel a megfelelő helpert az adott bejövő/kimenő kapcsolathoz (porthoz).

ftp esetén ez kell neki:

iptables -t raw -A PREROUTING -p tcp --dport ftp -j CT --helper ftp
iptables -t raw -A OUTPUT -p tcp --dport ftp -j CT --helper ftp

pptp-t soha nem használtam, majd kitalálálod, mi kell neki - gyakorlatilag ugyanazok a feltételek, mint amivel be/kiengeded a kapcsolatot.

Amúgy nem teljesen alaptalan a változtatás, a helperek eddig (nyilván) az adott protokoll default portjára bejövő/kimenő kapcsolatokra aktiválódtak csak, így pedig a nem szabványos portokon üzemelő szolgáltatások esetén is működnek.