welinux.ru / Есть проблема! — Проброс порта во внутреннюю сеть

Shtsh 23.04.2010 17:45

Есть проблема! — Проброс порта во внутреннюю сеть

совершенно идиотский вопрос. Укажите, пожалуйста где ошибка в скрипте

Есть шлюз на debian lenny
Есть ftp-сервер на win 2003

Задача: Настроить проброс 21го порта со шлюза на внутренний комп

EXT_IP=внешний_IP
INT_IP=172.16.1.8
LAN_IP=172.16.1.5
SRV_PORT=21
eth2 смотрит в интернет, eth0 - в сеть

iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP
iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP
iptables -I FORWARD 1 -i eth2 -o eth0 -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j ACCEPT

Не могу присоединиться к серверу. Какие тут возможны проблемы?

Тэги: ftp iptables nat

+ 3 -

Похожие

jupolun 23.04.2010 17:55 #

+ 1 -

ответный совершенно идиотский вопрос - LAN_IP - это IP ftp-сервера, а INT_IP - внутренний IP шлюза (просто для ясности)?

Shtsh 23.04.2010 18:15 # ↑

+ 0 -

именно
1.8 - шлюз
1.5 - фтп

jupolun 23.04.2010 18:25 # ↑

+ 2 -

iptables -t nat -A OUTPUT --dst $EXT_IP и т.д. - это зачем?
по идее, помимо непонятного аутпута (который не делает в данном случае ничего, как мне кажется) всё правильно. попробуй сделать чего-нибудь типа
iptables -A FORWARD -p tcp --dport 21 -j LOG --log-prefix "IPTABLES-FORWARD: (FTP) "
посмотри, что оно с ними делает?

flar 23.04.2010 18:20 #

+ 3 -

Ошибка в логике. Есть такой модуль ip_nat_ftp. Создан специально для проброса ftp через NAT. Помню что у ftp два порта используются. На команды и на данные.
Вот тут есть теория http://www.sys-adm.org.ua/system/ftp-nat.php

flar 23.04.2010 18:26 # ↑

+ 3 -

более точно: нехватает
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
который будет отслеживать связанные соединения, такие как разные порты у ftp

zivot_je_cudo 24.04.2010 00:20 #

+ 1 -

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i eth2 -o eth0 -d $LAN_IP -p tcp --dport $SRV_PORT -j ACCEPT
Остальное не надо.

zivot_je_cudo 24.04.2010 00:24 # ↑

+ 1 -

Shtsh, а ошибка у тебя во второй и третьей строке, они - бред полнейший.
Могут понадобиться модули ip_nat_ftp ip_conntrack_ftp.

Shtsh 24.04.2010 00:33 # ↑

+ 0 -

кстати, насчёт модулей. Я пока гуглил, видел упоменания о них. Но почему-то в debian lenny я их не обнаружил. Может, что-то нужно доставить?

zivot_je_cudo 24.04.2010 00:37 # ↑

+ 0 -

Нет, эти модули входят в ядро. И ооочень не верится, что в дебиане их нет :) Но если modprobe ip_nat_ftp ip_conntrack_ftp действительно не срабатывает, то придется пересобирать.

Shtsh 24.04.2010 00:43 # ↑

+ 0 -

возможно, они скомпилированы как часть ядра. К сожалению, как уехал с работы сегодня, до воскресного вечера не будет компьютера, чтообы проверить :( Сейчас с КПК сижу

zivot_je_cudo 24.04.2010 00:54 # ↑

+ 0 -

Возможно. Эти модули понадобятся, если ftp используется в активном режиме. Если в пассивном, то нужно просто так же перебросить 20-ый порт для передачи данных.

Shtsh 26.04.2010 12:11 # ↑

+ 0 -

в debian stable они имеют название nf_nat_ftp nf_conntrack_ftp

zivot_je_cudo 26.04.2010 12:46 # ↑

+ 0 -

Вот в чем дело! Модули переименовали, а у меня (арч) просто были прописаны алиасы по старым именам.