Модераторы: ZeeLax, powerfox
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Настройка шлюза для работы ftp 
V
    Опции темы
Хоббит
Дата 7.10.2010, 16:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1263
Регистрация: 6.11.2005

Репутация: нет
Всего: 1



Есть шлюз. Через него компьютеры выходят в интернет. На нем настроен iptables.
Нужно разрешить доступ через ftp наружу.
Прописываю правило для 21 и 20 порта.

$IPT -A FORWARD -p tcp -m tcp -i $LAN_IFACE -o $INET_IFACE --sport $UNPRIPORTS --dport 21 -j ACCEPT

Но ничего не получаю.

Так как ftp по 21 порту только производит начальное соединение. Потом компьютеры хотят общаться совсем на других портах. Прочитал на википедии про протокол ftp, пассивный и активный режимы, но так и не понял, как настроить файрвол на шлюзе.

Или я что-то не так понимаю. Подскажите?
PM MAIL   Вверх
ZeeLax
Дата 7.10.2010, 19:56 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88



NAT?
Код

iptabels -L -n -t filter -v
iptabels -L -n -t nat -v



--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
Хоббит
Дата 9.10.2010, 16:43 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1263
Регистрация: 6.11.2005

Репутация: нет
Всего: 1



# Masquerade
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

PM MAIL   Вверх
ZeeLax
Дата 10.10.2010, 07:53 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88



Тогда пассивный режим FTP ваш друг.


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
Хоббит
Дата 10.10.2010, 11:29 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1263
Регистрация: 6.11.2005

Репутация: нет
Всего: 1



Почитал еще раз.
Пассивный режим не совсем поможет.

Разница в активном режиме сервер выполняет обратное соединение к клиенту.
А в пассивном режиме сервер возвращает клиенту адрес и порт по которому клиенту надо совершить соединение.

У меня на шлюзе разрешен проходящий трафик на порт 20 и 21 фтп сервера.
При соединение фтп сервер возвращает другой порт с которым я должен соединиться в пассивном режиме. 
Но проходящий трафик на этот порт на шлюзе не разрешен. (Потому что я заранее не знаю какой порт вернет фтп сервер и должен для этого открыть кучу портов.)

Как решается этот вопрос? Или ни как?
PM MAIL   Вверх
ZeeLax
Дата 10.10.2010, 11:40 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88



Ах да, забыл... Нужно ещё заюзать хелпер для ната фтп.
Код

man iptables

ищем там helper, ftp.


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
Хоббит
Дата 18.11.2010, 12:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1263
Регистрация: 6.11.2005

Репутация: нет
Всего: 1



Не хватало модуля для iptables для отслеживания ftp соединений. Все работает. Спасибо.
PM MAIL   Вверх
  
Ответ в темуСоздание новой темы Создание опроса
Правила форума "Linux/UNIX: Oбщие вопросы"
nickless
Imple
pythonwin

В этом форуме предпочтительны вопросы на следующие темы:

  • Конкретные вопросы о конкретном ПО. В таких вопросах желательно привести точные данные о программе: версия программы, версия ОС, версия ядра, и проблему в форме: сделал Х, хотел получить Y, а получил Z.
  • Неконкретные вопросы о выборе ПО
  • Обзоры - как дополнение в ветку Обзоры


  • Вы должны соблюдать правила форума.
  • Помните: какой вопрос, такой и ответ. Прежде чем задать вопрос прочитайте вот эту статью на форуме CIT.
  • Оскорблять запрещается.
  • Религиозные войны в Религиозных войнах.
  • Общение "просто так" в Клубе юнуксоидов. В отличие от многих других разделов, здесь разрешается сдержанно оффтопить и юморить в тему.

За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу).


В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим.


Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax.

 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Программное обеспечение под *NIX системы | Следующая тема »


 




[ Время генерации скрипта: 0.0783 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.