纯FTPd:受限制的iptables输入随机失败

Question

我已经在Debian 10机器上安装了Pure，该机器运行iptables，并为INPUT链提供了默认的DROP策略。OUTPUT链被设置为ACCEPT。

问题:如果I试图连接一个FTP客户端，它有时只能工作。它似乎可以随机列出文件夹或失败。通常，重新尝试一个新连接将有效。

我的Pure配置了以下端口：

$ cat /etc/pure-ftpd/conf/Bind
85.xxx.xxx.xxx,57419

$ cat /etc/pure-ftpd/pure-ftpd.conf | grep Port
# Port range for passive connections - keep it as broad as possible.
PassivePortRange             30000 50000

要打开防火墙上的端口，我使用：

iptables -A INPUT -p tcp --dport 57419 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000:50000 -j ACCEPT

服务器上的日志：

pure-ftpd]: (?@176.x.x.x) [INFO] New connection from 176.x.x.x
pure-ftpd]: (?@176.x.x.x) [INFO] TLS: Enabled TLSv1.2 with ECDHE-RSA-AES256-GCM-SHA384, 256 secret bits cipher
pure-ftpd]: (?@176.x.x.x) [INFO] testuser is now logged in
// no more output until the client retries a new connection

现在FTP客户端会说它列出了一段时间，然后：

现在，<#>If我将iptable INPUT chain设置为 ACCEPT everything工作良好，所以似乎仍然有一些端口被Pure随机地尝试使用，我如何调试这个/修复它呢？

谢谢。

Answer 1

我设法跟踪到了一个配置问题。

显然，在/etc/pure-ftpd/pure-ftpd.conf设置端口是不够的。通过对ss -nap | grep pure的进一步分析，我发现纯公司试图使用防火墙允许的范围以外的端口。

要解决这个问题，我只需在/etc/pure-ftpd/conf/PassivePortRange上创建一个文件，并在那里设置端口范围。