centos설치시 디폴트로 깔리는 iptable 좀 봐주세요^^

안녕하십니까?씨디네트웍스 홍석범입니다.

혹 ftp module을 올리셨나요?

# modprobe ip_conntrack_ftp 실행후
#lsmod | grep ftp 로 모듈이 올라와 있는지 확인해 주시기 바랍니다.

정상적으로 모듈만 올라와 있으면 21/tcp만 허용해 주시고 상태추적에 의해
ESTABLISHED,RELATED  만 올라와 있으면 ftp는 문제 없습니다.

감사합니다.

오영구 님의 글

안녕하세요.

리눅스서버보안관리실무 2nd Edition과는 큰 연관이 없지만 마땅한 질문처를 찾지 못하여 여기에 질문글을 올립니다.

CenOS 설치시 디폴트로 깔리는 iptables에서 어떻게 설정하믄 FTP 서버 에러가 나지 않을까요?
ftp 접속은 되지만 dir 하믄 에러가 납니다.
혹은 227 Entering Passive Mode (58,38,198,114,249,49) 이런 화면에서 건너가지 않고 멈춤니다.
그렇지 않으면 ftp: connect: No route to host 이런메세지 뿌려줍니다.
그래서 iptable을 끄놓고 하믄 이상없이 되더군요. iptable 설정에 문제가 있는것 같아요.

현제 테스트 서버 환경은 OS CentOS 5.1
공유기에서 포트포워딩시켜 공유기 아래에 달려있고요.

iptables 설정내용은 아래와 같이 되어있고요.
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

위와같은 네트웍 환경에서 iptable을 어떻게 해줘야 ftp 서비스에 문제가 없는지요?

그리고 또 한가지는 책데로 컴파일해서 책에 쓰인 룰데로 적용을 하믄 위와같은 네트웍 환경에서도 ftp 서비스가 문제없이 할수 있는지요?