Если вы настраиваете на своём сервере iptables и используете FTP для передачи файлов, то вам возможно захочется ограничить диапазон используемых сервером портов.
Это может помочь в написании фильтра iptables. Для фильтрации и обработки трафика ftp можно использовать дополнительные модули. Я не хочу утруждать свой сервер отслеживанием трафика ftp и установкой дополнительных модулей – чем меньше настроек, тем стабильнее система!
Предпосылки:
Так как очень часто пользователи сидят за NAT и у них нет реального ip address, то приходится пользоваться пассивным режимом работы FTP сервера (passive mode).
В этом режиме после установки управляющей сессии с сервером на порт tcp/21, сервер открывает случайный порт к которому подключается пользователь для передачи данных.
Диапазон случайных портов можно ограничить в настройках ftp сервера.
(more…)