Da fehlt noch immer:(address mismatch)
Code: Alles auswählen
MasqueradeAddress [EXTERNE IP]
Äh das ist Aktives FTP. Das tut nicht hinter NAT. Du solltest dein FileZilla wieder auf passiv stellen. (Oder auf IPv6 umstellen .)PORT
Offensichtlich halt auch dein FTP.gesperrt ist alles, was von aussen tabu ist.
Services kannst du mit selinux freischalten.Somit sind nur solche Services offen wie HTTP, HTTPS, SMTPs, IMAPs, DNS, SSH (eingeschränkt) und eben FTP.
Was du machst ist zu versuchen an irgend welchen Port-Nummern zu raten zu welchem Service das gehört.
Das hilft sicherheitstechnisch nichts, weil Angreifer sich garantiert nicht Standardkonform verhalten und für ihre Malware einen Port bei der IANA-Beantragen und den dann nutzen. Jede Malware nutzt heute Port 443 und kommt damit durch deine HTTPS-Regel. Völlig Wurst, was die wirklich macht. Einziger Schutz ist der dagegen, dass du versehentlich selbst einen sich dann standardkonform verhaltende Software startest und die in der Firewall nicht freischaltest. Auf einem PC kann ich das verstehen, da macht man vielleicht mal was unüberlgtes und will eine zweite "nachfrage". Aber auf der anderen Seite verursacht das halt Probleme bei FTP, Bittorrent, Telefonie... die eben mehr als einen Port benötigen. Auf nem Server finde ich das deswegen absolut fehl am Platz.
Ohne ist dein FTP einfach nicht sicher. In irgend einer weise mit von wegen "geschützt" zu reden bevor das Ding TLS spricht ist absoluter Quatsch.Ohnehin sollte auch ein FTP-Server als VM geschützt sein, somit wäre auch hier die Firewall unabdingbar.
Mit dem dst würde ich aufpassen. Machst du das masquerading
bBist du dir da sicher? Wenn du das NAT Postrouting machst.hat der noch eine alte Adresse. Machst du es im PREROUTING ist es die FRWARD-Chaindst 192.168.1.75