* Re: [OBORONA-SPAM] [gentoo-user-ru] iptables + ftp
2005-10-18 21:38 [gentoo-user-ru] iptables + ftp Kanogin A.A.
@ 2005-10-18 20:55 ` Alex Efros
2005-10-18 22:15 ` Re[2]: " Tropyichev Andrey
0 siblings, 1 reply; 4+ messages in thread
From: Alex Efros @ 2005-10-18 20:55 UTC (permalink / raw
To: gentoo-user-ru
Hi!
On Wed, Oct 19, 2005 at 12:38:42AM +0300, Kanogin A.A. wrote:
> Стоит такой вопросик:
> есть шлюз на ип 195.122.x.x прописаны правила для ната.
> на шлюзе два сетевых интерфейса:
> eth0 195.122.x.x
> eth1 192.168.0.254
>
> вопрос, какое правило нужно прописать, чтобы внутренний клиент -
> 192.168.0.1 мог ходить через этот шлюз по ftp не в пассивном режиме,
> т.е. разрешать устанавливаемые ftp соединения коннектиться на другие
> порты?
>
> правила ната:
> iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
> iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Никак нельзя. Либо нат, либо активный ftp. Подумай сам, при активном ftp
клиент (192.168.0.1) открывает у себя на машине какой-то порт и сообщает его
серверу. Сервер пытается коннектиться на этот порт, но не на машину клиента,
а на твой роутер, из-за ната. Как ты в этой ситуации можешь гарантировать что
на твоём роутере в этот момент выбранный клиентом порт свободен и ты можешь
его прозрачно завернуть на клиентскую машину?
По большому счёту, чтобы это работало твой роутер должен отследить передачу
порта клиентом серверу и на лету ИЗМЕНИТЬ в передаваемой ftp-команде номер
этого порта на тот, который в этот момент свободен на роутере плюс добавить
информацию о связи этих портов на клиенте и роутере в нат. Я не знаю
файрволов, которые такое умеют делать... хотя, может что-нить из коллекции
patch-o-matic такое и может.
Вопрос только чем тебе пассивный ftp настолько мешает, чтобы в такие дебри
забираться? Если уж категорично нужен активный ftp на клиенте - может
какая-нить прокся поможет или выдай этому клиенту реальный IP, и без нат.
--
WBR, Alex.
--
gentoo-user-ru@gentoo.org mailing list
^ permalink raw reply [flat|nested] 4+ messages in thread
* [gentoo-user-ru] iptables + ftp
@ 2005-10-18 21:38 Kanogin A.A.
2005-10-18 20:55 ` [OBORONA-SPAM] " Alex Efros
0 siblings, 1 reply; 4+ messages in thread
From: Kanogin A.A. @ 2005-10-18 21:38 UTC (permalink / raw
To: gentoo-user-ru
Hello gentoo-user-ru,
Стоит такой вопросик:
есть шлюз на ип 195.122.x.x прописаны правила для ната.
на шлюзе два сетевых интерфейса:
eth0 195.122.x.x
eth1 192.168.0.254
вопрос, какое правило нужно прописать, чтобы внутренний клиент -
192.168.0.1 мог ходить через этот шлюз по ftp не в пассивном режиме,
т.е. разрешать устанавливаемые ftp соединения коннектиться на другие
порты?
правила ната:
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
--
С наилучшими пожеланиями,
Каногин Саша mailto:kanogin@sandy.ru
--
gentoo-user-ru@gentoo.org mailing list
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re[2]: [OBORONA-SPAM] [gentoo-user-ru] iptables + ftp
2005-10-18 20:55 ` [OBORONA-SPAM] " Alex Efros
@ 2005-10-18 22:15 ` Tropyichev Andrey
2005-10-18 22:44 ` Alex Korshunov
0 siblings, 1 reply; 4+ messages in thread
From: Tropyichev Andrey @ 2005-10-18 22:15 UTC (permalink / raw
To: Alex Efros
Здравствуйте, Alex.
Вы писали 19 октября 2005 г., 7:55:02:
AE> Никак нельзя. Либо нат, либо активный ftp. Подумай сам, при активном ftp
Я подумал:
cd /usr/src/linux
make menuconfig
x CONFIG_IP_NF_FTP: x
x x
x Tracking FTP connections is problematic: special helpers are x
x required for tracking them, and doing masquerading and other forms x
x of Network Address Translation on them. x
x x
x To compile it as a module, choose M here. If unsure, say Y. x
x x
x Symbol: IP_NF_FTP [=m] x
x Prompt: FTP protocol support x
x Defined at net/ipv4/netfilter/Kconfig:53 x
x Depends on: NET && INET && NETFILTER && IP_NF_CONNTRACK x
x Location: x
x -> Device Drivers x
x -> Networking support x
x -> Networking support (NET [=y]) x
x -> Networking options x
x -> Network packet filtering (replaces ipchains) (NETFILTER [=y]) x
x -> IP: Netfilter Configuration x
Потом сюда
/etc/modules.autoload.d/kernel-2.6
пишем:
ip_tables
ip_conntrack
ip_conntrack_ftp
iptable_nat
ip_nat_ftp
ipt_MASQUERADE
ipt_state
iptable_filter
и работаем.
Блин, я сделал НЕВОЗМОЖНОЕ!
Господи, какой я крутой;))))))
--
С уважением,
Tropyichev Andrey mailto:postmaster@rosmet.net
--
gentoo-user-ru@gentoo.org mailing list
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [OBORONA-SPAM] [gentoo-user-ru] iptables + ftp
2005-10-18 22:15 ` Re[2]: " Tropyichev Andrey
@ 2005-10-18 22:44 ` Alex Korshunov
0 siblings, 0 replies; 4+ messages in thread
From: Alex Korshunov @ 2005-10-18 22:44 UTC (permalink / raw
To: gentoo-user-ru
Эээээ... а чего сложного-то было? ip_conntrack_ftp ip_nat_ftp ;)
>ip_tables
>ip_conntrack
>ip_conntrack_ftp
>iptable_nat
>ip_nat_ftp
>ipt_MASQUERADE
>ipt_state
>iptable_filter
>
>и работаем.
>
>Блин, я сделал НЕВОЗМОЖНОЕ!
>Господи, какой я крутой;))))))
>
>
>
--
gentoo-user-ru@gentoo.org mailing list
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2005-10-18 22:44 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz follow: Atom feed
-- links below jump to the message on this page --
2005-10-18 21:38 [gentoo-user-ru] iptables + ftp Kanogin A.A.
2005-10-18 20:55 ` [OBORONA-SPAM] " Alex Efros
2005-10-18 22:15 ` Re[2]: " Tropyichev Andrey
2005-10-18 22:44 ` Alex Korshunov
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox