Я видел такие обширные правила уже в нескольких блогах и т. Д. И задавался вопросом, почему бы просто не использовать
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
вместе с модулем nf_conntrack_ftp
. Это более лаконично и читабельно, что в целом хорошо, особенно с брандмауэрами ...
FWIW, похоже, что в ядре 4.7 произошли изменения, так что вам нужно либо установить net.netfilter. nf_conntrack_helper = 1
через sysctl
(например, поместите его в /etc/sysctl.d/conntrack.conf
) или используйте
iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
(см. здесь для получения дополнительной информации)