RH 7.2 ipchains против FTP

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

RH 7.2 ipchains против FTP

Сообщение Anita » 09 дек 2003, 11:06

имею ред хат 7.2
правила файрволла построены на ipchains

фтп работает через раз

те. я соображаю что есть пассивный и активный способы соединения и передачи данных по фтп, и пассивный то работает.

a фтп не работает для локалки которая стоит под маскарадом

я уже смотрела ядро на предмет этого модуля - про фтп есть только скомпиленный модуль ip_nat_ftp.o - но все дело в том что этот модуль под iptables а не под ipchains, под ipchains раньше был ip_masq_ftp.o которого почему то в 7.2 нет. т.к . заявлено что ipchains nat-ят фтп уже без него.
а вот что то и не натят !!!

причем я смотрела Perfomance Monitor"ом с клиентской машины и tcpdump'ом на linux'e соединения они устанавливают и в-общем похоже что все гуд, но данные не передаются. а один фтп так вообще ответил что ему передали адрес 192,168,х,х - и он это не понимает (и правильно делает)

как заставить работать фтп с клиентских машин из под маскарада?

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 09 дек 2003, 11:21

#ipchains -L в студию!
а заодно и #route и #ifconfig

Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

Сообщение Anita » 09 дек 2003, 11:33

MY_IP="внешний_на_ eth0/32"
LAN_IP="внутренний_192.168_на_eth1/32"
LAN_IPs="192.168.x.x/24"

#=== FTP
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 21 -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 21 -d $MY_IP 1024:65535 ! -y -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 20 -d $MY_IP 1024:65535 -j ACCEPT
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 20 ! -y -j ACCEPT

#-passive
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 1024:65535 -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 1024:65535 -d $MY_IP 1024:65535 ! -y -j ACCEPT

#-- eth1 ---------------------------------------------------------
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
ipchains -A input -i eth1 -s $LAN_IPs -j ACCEPT
ipchains -A output -i eth1 -d $LAN_IPs -j ACCEPT

# -- MASQ
ipchains -A forward -i eth0 -s $LAN_IPs -j MASQ

Аватара пользователя
Wizard
Advanced member
Сообщения: 185
Зарегистрирован: 09 сен 2002, 11:34
Откуда: SPb
Контактная информация:

Сообщение Wizard » 09 дек 2003, 12:24

Ну в общем то ошибок в правилах нет, вроде всё прально, но странно что без модуля пашет! А вообще рекомендую установить iptables
Есть подозрение
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
опечптка или нет надо просто поставить
ipchains -A forward -i eth1 -s $LAN_IPs -d 0/0 -j ACCEPT

Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

Сообщение Anita » 09 дек 2003, 12:56

не, ребята, давайте не будем мне рекомендовать ставить iptables. это не решение для меня сейчас. сказать "используй iptables"- легко. если б дело было в переходе на iptables- я бы не стала писать в форум. но мне надо решить МОЮ задачу.

Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

Сообщение Anita » 09 дек 2003, 12:59

Wizard писал(а):Есть подозрение
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
опечптка или нет надо просто поставить
ipchains -A forward -i eth1 -s $LAN_IPs -d 0/0 -j ACCEPT
подозрение не совсем в точку - мое правило работает на локальную сетку - а по поводу выхода в 0/0 - работает правило маскарада ниже

Аватара пользователя
Wizard
Advanced member
Сообщения: 185
Зарегистрирован: 09 сен 2002, 11:34
Откуда: SPb
Контактная информация:

Сообщение Wizard » 09 дек 2003, 14:07

Ага!
Ну я тока прикинул на вскидку т.к. ipchains давно не использовал, а в iptables не использую маскарад а делаю нат поэтому и надо 2 правила :)
Тогда я не понял не работает внутренний фтп или внешний, и всёже странно я раньше догружал модули ip_conntrack_ftp или както там называемые

Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

Сообщение Anita » 09 дек 2003, 14:13

Wizard писал(а):Ага!
Ну я тока прикинул на вскидку т.к. ipchains давно не использовал, а в iptables не использую маскарад а делаю нат поэтому и надо 2 правила :)
Тогда я не понял не работает внутренний фтп или внешний, и всёже странно я раньше догружал модули ip_conntrack_ftp или както там называемые
уважаемый Wizard, если Вы не в курсе как работает ipchains с ftp - то, простите, нам с Вами не по пути. iptables действительно загружая СВОЙ модуль ip_nat_ftp подгружает также и ip_conntrack_ftp, но это совершенно другая история , т.к. она про iptables, а не про ipchains.

Аватара пользователя
Wizard
Advanced member
Сообщения: 185
Зарегистрирован: 09 сен 2002, 11:34
Откуда: SPb
Контактная информация:

Сообщение Wizard » 09 дек 2003, 15:03

Поробуй использовать НАТ а не маскарад, т.к. на некоторых форумах были сообщения что ftp не дружит с "некоторыми" вариантами настройки маскарадинга например. Может поможет. Это именно для для ядер 2.2 было.

Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

Сообщение Anita » 09 дек 2003, 15:18

Wizard - а теперь бодрым голосом ответьте мне как сделать ipchains'ом NAt а не маскарад ???

можете даже на ман взлянуть - я подожду.

ман начинать читать со слов
A firewall rule specifies criteria for a packet, and a
target. If the packet does not match, the next rule in
the chain is then examined; if it does match, then the
next rule is specified by the value of the target, which
can be the name of a user-defined chain, or one of the
special values ACCEPT, DENY, REJECT, MASQ, REDIRECT, or
RETURN.

если найдете слово NAT - c меня бутылка

Аватара пользователя
Wizard
Advanced member
Сообщения: 185
Зарегистрирован: 09 сен 2002, 11:34
Откуда: SPb
Контактная информация:

Сообщение Wizard » 09 дек 2003, 15:21

Так я и не говорил что НАТ надо делать с помощью ipchains!
Ядро чтоли не пересобрать?

Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

Сообщение Anita » 09 дек 2003, 15:25

так ведь и я уже написала что не надо мне предлагать ставить iptables, и причем давно написала.

Аватара пользователя
Wizard
Advanced member
Сообщения: 185
Зарегистрирован: 09 сен 2002, 11:34
Откуда: SPb
Контактная информация:

Сообщение Wizard » 09 дек 2003, 15:48

На http://linuxnews.ru/docs/ в разделе "Старое" есть статья multika о том как делать нат.
http://linuxnews.ru/docs/old/nat.txt
http://linuxnews.ru/docs/old/nat2.txt

Anita
Junior member
Сообщения: 17
Зарегистрирован: 21 ноя 2003, 17:17
Контактная информация:

Сообщение Anita » 09 дек 2003, 16:07

Эхххх,
не помогает это... да и на этих ссылках товарищ пишет что затыкается все через 2-3 часа (именно так оно и было когда у меня было ядро 2.2.х и был модуль ip_masq_ftp)

а теперь и модуля нет и ядро то в RH 7.2 - уже 2.4

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»