URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1028
[ Назад ]

Исходное сообщение
"iptables & ftp"
Отправлено Valinor , 27-Ноя-03 10:26

не могу ходить на внешние фтп без пассивного режима.
может, кто ткнет носом в грабли, которые я еще не учел?
таблица nat:
-A POSTROUTING -o eth0 -j SNAT --to-source <external ip>
таблица filter:
по умолчанию все DROP
-A FORWARD -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ip_conntrack_ftp, ip_nat_ftp загружены
фишка следующая: при такой схеме все работает до того момента когда мы посылаем фтп-серверу команду PORT. и вот результат:
230 Anonymous user logged in.
ftp> ls
500 Invalid PORT Command.

Содержание

iptables & ftp,Михаил, 09:41 , 30-Ноя-03
- iptables & ftp,Valinor, 06:12 , 01-Дек-03
iptables & ftp,Junior, 11:56 , 30-Ноя-03
- iptables & ftp,Valinor, 06:20 , 01-Дек-03
  - iptables & ftp,Junior, 08:43 , 01-Дек-03
iptables & ftp,Xela, 10:20 , 01-Дек-03

Сообщения в этом обсуждении

"iptables & ftp"
Отправлено Михаил , 30-Ноя-03 09:41

а ftp-клиент запускаешь на шлюзе или на клиентском компе?

"iptables & ftp"
Отправлено Valinor , 01-Дек-03 06:12

>а ftp-клиент запускаешь на шлюзе или на клиентском компе?
со шлюза все гладко проходит. с клиентами - затык.

"iptables & ftp"
Отправлено Junior , 30-Ноя-03 11:56

>не могу ходить на внешние фтп без пассивного режима.
>может, кто ткнет носом в грабли, которые я еще не учел?
>таблица nat:
>-A POSTROUTING -o eth0 -j SNAT --to-source <external ip>
>
>таблица filter:
>по умолчанию все DROP
>-A FORWARD -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state
>--state NEW -j DROP
>-A FORWARD -i eth1 -j ACCEPT
>-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
>ip_conntrack_ftp, ip_nat_ftp загружены
>фишка следующая: при такой схеме все работает до того момента когда мы
>посылаем фтп-серверу команду PORT. и вот результат:
>230 Anonymous user logged in.
>ftp> ls
>500 Invalid PORT Command.
А коннект на 20 порт открыт?

"iptables & ftp"
Отправлено Valinor , 01-Дек-03 06:20

>>не могу ходить на внешние фтп без пассивного режима.
>А коннект на 20 порт открыт?
дык а разрешение ESTABLISHED/RELATED на любой порт не пройдет?
я так понимаю, что после команды PORT от клиента сервер устанавливает RELATED-соединение? и, кроме того, PORT сообщает IP и порт, _на_ который будет коннектиться сервак к клиенту _со_своего_ 20 порта.
да и в любом случае - пробовал открывать, в обе стороны. не помогло :(

"iptables & ftp"
Отправлено Junior , 01-Дек-03 08:43

>>>не могу ходить на внешние фтп без пассивного режима.
>>А коннект на 20 порт открыт?
>дык а разрешение ESTABLISHED/RELATED на любой порт не пройдет?
>я так понимаю, что после команды PORT от клиента сервер устанавливает RELATED-соединение?
>и, кроме того, PORT сообщает IP и порт, _на_ который будет
>коннектиться сервак к клиенту _со_своего_ 20 порта.
>да и в любом случае - пробовал открывать, в обе стороны. не
>помогло :(
RELATED - это разрешение на открытие новых соединений в рамках существующего. Нужно для пассивного обмена данными по ftp, а 20 порт - это ftp-data.

"iptables & ftp"
Отправлено Xela , 01-Дек-03 10:20

modprobe ip_nat_ftp