сразу сознаюсь, пользовался поиском, читал форум. но всё равно не получилось нифига. ну добавил я модули ip_conntrack_ftp и ip_nat_ftp. проверил lsmod, да висят в памяти. а дальше что? как-то нужно менять правила или модули сами это всё будут отслеживать? вообще не понятен сам механизм этого действа, т.е. прохождения соединения на активный FTP. что и в какую цепочку будет попадать и как преобразовываться. разъясните пожалуйста.
>сразу сознаюсь, пользовался поиском, читал форум. но всё равно не получилось нифига.
>ну добавил я модули ip_conntrack_ftp и ip_nat_ftp. проверил lsmod, да висят
>в памяти. а дальше что? как-то нужно менять правила или модули
>сами это всё будут отслеживать? вообще не понятен сам механизм этого
>действа, т.е. прохождения соединения на активный FTP. что и в какую
>цепочку будет попадать и как преобразовываться. разъясните пожалуйста.
iptables -A FORWARD -m state RELATED,ESTABLISHED -j ACCEPT
^
|
trassirovka kompleksnyh protokolov
>iptables -A FORWARD -m state RELATED,ESTABLISHED -j ACCEPT
>
> ^
> |
> trassirovka kompleksnyh protokolovну это не новость. есть более конструктивные предложения? мне вообще кажется что попытка подключения от сервака попадает в цепочку INPUT, сейчас буду логи проверять.
посмотрел логи. да, действииельно в цепоче FORWARD проскакивает покет от внешнего FTP сервера к компьютеру с локальной сети. но это обращение с 21 порта на произвольный порт. даже если я его пропущу, то как мне выпускать ответ? выпускать изнутри на все порты с состоянием Established?! чёт мне не нравиться такой расклад. иначе никак?
>посмотрел логи. да, действииельно в цепоче FORWARD проскакивает покет от внешнего FTP
>сервера к компьютеру с локальной сети. но это обращение с 21
>порта на произвольный порт. даже если я его пропущу, то как
>мне выпускать ответ? выпускать изнутри на все порты с состоянием Established?!
>чёт мне не нравиться такой расклад. иначе никак?Я вообще из _сервака_ все выпускаю... и ничего.
Только просьба пояснить несколько моментов - как минимум какое отношение цепочки input и output имеют отношение к установке соединения по ftp через маскарад????
>Я вообще из _сервака_ все выпускаю... и ничего.
>Только просьба пояснить несколько моментов - как минимум какое отношение цепочки input
>и output имеют отношение к установке соединения по ftp через маскарад????
>речь идёт не о выпускании с сервера, а о выпускании из внутреней сети. выпускать оттуда всё я не собираюсь.
>речь идёт не о выпускании с сервера, а о выпускании из внутреней
>сети. выпускать оттуда всё я не собираюсь.Тогда при чем здесь output ?
>>речь идёт не о выпускании с сервера, а о выпускании из внутреней
>>сети. выпускать оттуда всё я не собираюсь.
>
>Тогда при чем здесь output ?Господи! да где вы output то нашли? я про него и не упоминал, прочитайте тему ещё раз.
>Господи! да где вы output то нашли? я про него и не
>упоминал, прочитайте тему ещё раз.
Сообщение номер 3. Понятие "выпускать" в iptables - это однозначно output - это не фря.
Потому что прохождение пакетов при маскарадинге и пр. используя iptables - это prerouting-forward-postrouting. Таблицы filter есть только у forward в этом случае.
И чем вам не нравится пропускание всего с состоянием established,related? Это как раз то, чего мне во фре не хватает. Состояние established,related соединение приобретает только после установления соединения - т.е. если прошли все предыдущие стадии. Если нужно что-то ограничивать - то ограничивается перед этим, не давая установить соединение.
В каким смысле "во фре не хватает"? :) А мне вот в linux не хватает конструкции keep-state. А пущать-непущать established пакеты - это прошлый век :(