welinux.ru/Есть проблема! — Проброс порта во внутреннюю сеть

23.04.10 17:45 Shtsh

Есть проблема! — Проброс порта во внутреннюю сеть

совершенно идиотский вопрос. Укажите, пожалуйста где ошибка в скрипте

Есть шлюз на debian lenny
Есть ftp-сервер на win 2003

Задача: Настроить проброс 21го порта со шлюза на внутренний комп

1
2
3
4
5
6
7
8
9
10
11
12
13 EXT_IP=внешний_IP INT_IP=172.16.1.8 LAN_IP=172.16.1.5 SRV_PORT=21 eth2 смотрит в интернет, eth0 - в сеть iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP iptables -I FORWARD 1 -i eth2 -o eth0 -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j ACCEPT

Не могу присоединиться к серверу. Какие тут возможны проблемы?

Похожие +3–

Теги: iptables nat ftp

jupolun 23.04.10 17:55 # +1–

ответный совершенно идиотский вопрос - LAN_IP - это IP ftp-сервера, а INT_IP - внутренний IP шлюза (просто для ясности)?

Shtsh 23.04.10 18:15 # ↑ +0–

именно
1.8 - шлюз
1.5 - фтп

: jupolun 23.04.10 18:25 # ↑ +2–

iptables -t nat -A OUTPUT --dst $EXT_IP
и т.д. - это зачем?
по идее, помимо непонятного аутпута (который не делает в данном случае ничего, как мне кажется) всё правильно. попробуй сделать чего-нибудь типа

iptables -A FORWARD -p tcp --dport 21 -j LOG --log-prefix "IPTABLES-FORWARD: (FTP) "

посмотри, что оно с ними делает?

flar 23.04.10 18:20 # +3–

Ошибка в логике. Есть такой модуль ip_nat_ftp. Создан специально для проброса ftp через NAT. Помню что у ftp два порта используются. На команды и на данные.
Вот тут есть теория http://www.sys-adm.org.ua/system/ftp-nat.php

: flar 23.04.10 18:26 # ↑ +3–

более точно: нехватает
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
который будет отслеживать связанные соединения, такие как разные порты у ftp

zivot_je_cudo 24.04.10 00:20 # +1–

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i eth2 -o eth0 -d $LAN_IP -p tcp --dport $SRV_PORT -j ACCEPT
Остальное не надо.

zivot_je_cudo 24.04.10 00:24 # ↑ +1–

Shtsh, а ошибка у тебя во второй и третьей строке, они - бред полнейший.
Могут понадобиться модули ip_nat_ftp ip_conntrack_ftp.

Shtsh 24.04.10 00:33 # ↑ +0–

кстати, насчёт модулей. Я пока гуглил, видел упоменания о них. Но почему-то в debian lenny я их не обнаружил. Может, что-то нужно доставить?

zivot_je_cudo 24.04.10 00:37 # ↑ +0–

Нет, эти модули входят в ядро. И ооочень не верится, что в дебиане их нет :) Но если modprobe ip_nat_ftp ip_conntrack_ftp действительно не срабатывает, то придется пересобирать.

Shtsh 24.04.10 00:43 # ↑ +0–

возможно, они скомпилированы как часть ядра. К сожалению, как уехал с работы сегодня, до воскресного вечера не будет компьютера, чтообы проверить :( Сейчас с КПК сижу

: zivot_je_cudo 24.04.10 00:54 # ↑ +0–

Возможно. Эти модули понадобятся, если ftp используется в активном режиме. Если в пассивном, то нужно просто так же перебросить 20-ый порт для передачи данных.

Shtsh 26.04.10 12:11 # ↑ +0–

в debian stable они имеют название nf_nat_ftp nf_conntrack_ftp

: zivot_je_cudo 26.04.10 12:46 # ↑ +0–

Вот в чем дело! Модули переименовали, а у меня (арч) просто были прописаны алиасы по старым именам.

—

jh — « Talks! / По какой причине хозяева терминалов оплаты юзают не свободные ОС?» Darkman87SA — « Есть проблема! / Решение: Cancel» Есть проблема! — «Clementine: Glibcxx_3.4.11 not found» Есть проблема! — «Решение: Cancel» kstep — « Python / Урок 1.1 TDD для начинающих на Python» kstep — « Мой OpenSource проект / Dbuscron — шедулер dbus-событий для N900» derfenix — « Есть вопрос! / Sysenter/sysexit?» derfenix — « Есть вопрос! / Sysenter/sysexit?» rb — « Bugzilla / Блог для грамотных багрепортов» shade — « Мой OpenSource проект / Dbuscron — шедулер dbus-событий для N900» derfenix — « Bugzilla / Блог для грамотных багрепортов» red_dragon — « Bugzilla / bug #1. Amarok роняет иксы» haku — « Мой OpenSource проект / Dbuscron — шедулер dbus-событий для N900» rb — « Bugzilla / Блог для грамотных багрепортов» Self-Perfection — « Есть вопрос! / Sysenter/sysexit?» derfenix — « Есть вопрос! / Sysenter/sysexit?»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 148) Tips & tricks (33) Есть вопрос! (26) How-to`s (25) Archlinux (25) Vim (22) KDE (18) Мой рабочий стол. (18) Linux Games (17) Скрипты (17) welinux (14)
Элита (все 2945 из 222 городов) muhas (257.7) Shtsh (163.6) ZogG (144.75) cppmm (138.3) Aesdana (132.1) h0rr0rr_drag0n (124.6) digiwhite (123.2) Minoru (99.15) LeniH (92.65) dr_magnus (88.8)

В сети: doraneko, mhspace

Новенькие: evilglen, novg, Caliwinter, mad.enemy, firefly