настройка активного ftp-соединения в iptables
 

Здравствуйте, существует следующая проблема: Провайдер изменил режим доступа на свой ftp-сервер с пассивного на активный.

Если раньше было достаточно разрешить исходящие соединения на 21 порт ftp-ка то теперь такой номер не прокатывает..подключиться то удается но на команду dir,выдается 425 ошибка(не удалось установить соединение).

Поэтому я создал следующие правила:

$IPTABLES -A INPUT -p tcp -s $FTP_SERVER --sport 20:21 -j ACCEPT (то есть разрешаю входящие пакеты с 20 и 21 порта ftp-ка)
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets( Все остальные входящие пакеты проходят проверку в цепочке bad_tcp_packets)

И соответсвенно разрешил исходящие на теже порты :

$IPTABLES -A OUTPUT -p tcp -d $FTP_SERVER --dport 20:21 -j ACCEPT

но все равно вылезает таже 425 ошибка.. Использовал и ftp-клиент в активном режиме total commandera и встроенный в WINDOWs.

Вопрос в следующем - кто ть знает как исправить проблему.. ?

может надо еще что то дописать в цепочку FORWARD?

vagner_HATE
Посмотрите здесь

vagner_HATE
По этому правилу:
должен работать ftp-клиент только с самого маршрутизатора.
Транзитные пакеты идущие от клиентов за маршрутизатором не попадают в цепочки INPUT и OUTPUT, необходимо использовать цепочку FORWARD. Должно быть что-то типа этого:
$IPTABLES -A FORWARD -p tcp -s $FTP_SERVER --sport 20:21 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $FTP_SERVER --dport 20:21 -j ACCEPT

Telepuzik, спасибо, именно так прописал и помогло. Всем спасибо, тема закрыта.