Люди добрые подскажите. В Линуксе я полный новичек. Необходимо сделать что бы пользователи локальной сети имели доступ в инет но только по следующим портам: 21,80.
Создал я правили:

-A POSTROUTING -s X.X.X.X -j ACCEPT
-A POSTROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 21,80 -j SNAT --to-source X.X.X.X

И все бы хорошо, но тут высняется что нет доступа к ФТП серверам в инете, выдается сообщение ФТП-го клиента: 500 Invalid PORT command. В пассивном режиме тоже проверял, тот же результат.
Порылся на форумах а там пишется что необходм открывать доступ как минимум до 1024 порта.

Неужели нет никакого другого выхода.

• Вопрос с ГУРУ,Nimdar, 17:15 , 27-Апр-07
  • Вопрос с ГУРУ,fantom_111, 17:28 , 27-Апр-07
    • Вопрос с ГУРУ,Nimdar, 17:42 , 27-Апр-07
• Вопрос с ГУРУ,AlexF, 17:39 , 27-Апр-07
  • Вопрос с ГУРУ,fantom_111, 17:48 , 27-Апр-07
    • Вопрос с ГУРУ,AlexF, 18:13 , 27-Апр-07
      • Вопрос с ГУРУ,dsda, 18:29 , 27-Апр-07
      • Вопрос с ГУРУ,fantom_111, 21:04 , 27-Апр-07
      • Вопрос с ГУРУ,fantom_111, 21:16 , 27-Апр-07
        • Вопрос с ГУРУ,fantom_111, 10:34 , 28-Апр-07
          • Вопрос с ГУРУ,fantom_111, 10:51 , 28-Апр-07
          • Вопрос с ГУРУ,Nimdar, 10:55 , 28-Апр-07
            • Вопрос с ГУРУ,dsda, 03:27 , 29-Апр-07

http://slacksite.com/other/ftp.html

>http://slacksite.com/other/ftp.html

Статья видемо полезная, но не свсем понятно как она относится к моему вопросу. Я так и не понял что нужно добавить в мою конфигурацию, что б все заработало. Добавил 1023 порт не помогло.

>>http://slacksite.com/other/ftp.html
>
>Статья видемо полезная, но не свсем понятно как она относится к моему
>вопросу. Я так и не понял что нужно добавить в мою
>конфигурацию, что б все заработало. Добавил 1023 порт не помогло.

Всего навсего прочитать статью. Там даже приведены очень наглядные схемы.

Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.

>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>
Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так как с этим можно все таки бороться или же необходимо открывать порты с 1024 по 65535!?

Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
В пассивном режиме должны быть открыты удаленные порты > 1024.

>>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>>
>Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так
>как с этим можно все таки бороться или же необходимо открывать
>порты с 1024 по 65535!?

>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.
>
>
>>>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>>>
>>Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так
>>как с этим можно все таки бороться или же необходимо открывать
>>порты с 1024 по 65535!?

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.

Получается мне надо открыть порт 1024 на вход?

>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.

т.е. по идее мое правило должно выглядеть следующим образом:

-A POSTROUTING -s X.X.X.X -j ACCEPT
-A POSTROUTING -p tcp -s 192.168.0.0/24 --sport 1024 -j SNAT --to-source X.X.X.X
-A POSTROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 20,21,80 --to-source X.X.X.X

И еще просьба не пинать сильно, я ведь новичек.

Подскажите что мне делать, желательно с примерами или хотябы ссылкой на пример.

А будут работать эти параметры после перезапуска компьютера:
   modprobe iptable_nat
   modprobe ip_conntrack_ftp
   modprobe ip_nat_ftp                    
   modprobe ip_nat_irc
И если нет то что надо сделать что бы они подгружались в момент загрузки?

Ну почему ты не хочешь ВНИКНУТЬ в статью, ссылку на которую я тебе привёл? Не хочешь прочесть статью, или не можешь, или не понимаешь английского (тогда уж точно быть тебе вечным новичком), то почему ты не хочешь хотя бы попытаться ПОНЯТЬ ЧТО нарисовано на схеме? Проще уж ничего быть не может.
Если ты новичок, то с таким отношением к делу, ты никогда ничему не научишься.

Подсказка. Соединение с 20 порта инициирует СЕРВЕР, а не клиент. Дальше думай сам.

все проще, не надо ничего открывать тебе...
есть модули ip_nat_ftp, ip_conntrack_ftp

вот нужные правила

iptables -t nat -A POSTROUTING -s $localnet -p tcp -m multiport --dports 21,80 -j SNAT --to-source $realip
iptables -A FORWARD -s $localnet -p tcp -m multiport --dports 21,80 -j ACCEPT
iptables -A FORWARD -s $localnet -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT