RH 7.2 ipchains против FTP
Модераторы: Trinity admin`s, Free-lance moderator`s
RH 7.2 ipchains против FTP
имею ред хат 7.2
правила файрволла построены на ipchains
фтп работает через раз
те. я соображаю что есть пассивный и активный способы соединения и передачи данных по фтп, и пассивный то работает.
a фтп не работает для локалки которая стоит под маскарадом
я уже смотрела ядро на предмет этого модуля - про фтп есть только скомпиленный модуль ip_nat_ftp.o - но все дело в том что этот модуль под iptables а не под ipchains, под ipchains раньше был ip_masq_ftp.o которого почему то в 7.2 нет. т.к . заявлено что ipchains nat-ят фтп уже без него.
а вот что то и не натят !!!
причем я смотрела Perfomance Monitor"ом с клиентской машины и tcpdump'ом на linux'e соединения они устанавливают и в-общем похоже что все гуд, но данные не передаются. а один фтп так вообще ответил что ему передали адрес 192,168,х,х - и он это не понимает (и правильно делает)
как заставить работать фтп с клиентских машин из под маскарада?
правила файрволла построены на ipchains
фтп работает через раз
те. я соображаю что есть пассивный и активный способы соединения и передачи данных по фтп, и пассивный то работает.
a фтп не работает для локалки которая стоит под маскарадом
я уже смотрела ядро на предмет этого модуля - про фтп есть только скомпиленный модуль ip_nat_ftp.o - но все дело в том что этот модуль под iptables а не под ipchains, под ipchains раньше был ip_masq_ftp.o которого почему то в 7.2 нет. т.к . заявлено что ipchains nat-ят фтп уже без него.
а вот что то и не натят !!!
причем я смотрела Perfomance Monitor"ом с клиентской машины и tcpdump'ом на linux'e соединения они устанавливают и в-общем похоже что все гуд, но данные не передаются. а один фтп так вообще ответил что ему передали адрес 192,168,х,х - и он это не понимает (и правильно делает)
как заставить работать фтп с клиентских машин из под маскарада?
MY_IP="внешний_на_ eth0/32"
LAN_IP="внутренний_192.168_на_eth1/32"
LAN_IPs="192.168.x.x/24"
#=== FTP
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 21 -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 21 -d $MY_IP 1024:65535 ! -y -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 20 -d $MY_IP 1024:65535 -j ACCEPT
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 20 ! -y -j ACCEPT
#-passive
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 1024:65535 -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 1024:65535 -d $MY_IP 1024:65535 ! -y -j ACCEPT
#-- eth1 ---------------------------------------------------------
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
ipchains -A input -i eth1 -s $LAN_IPs -j ACCEPT
ipchains -A output -i eth1 -d $LAN_IPs -j ACCEPT
# -- MASQ
ipchains -A forward -i eth0 -s $LAN_IPs -j MASQ
LAN_IP="внутренний_192.168_на_eth1/32"
LAN_IPs="192.168.x.x/24"
#=== FTP
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 21 -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 21 -d $MY_IP 1024:65535 ! -y -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 20 -d $MY_IP 1024:65535 -j ACCEPT
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 20 ! -y -j ACCEPT
#-passive
ipchains -A output -i eth0 -p tcp -s $MY_IP 1024:65535 -d 0/0 1024:65535 -j ACCEPT
ipchains -A input -i eth0 -p tcp -s 0/0 1024:65535 -d $MY_IP 1024:65535 ! -y -j ACCEPT
#-- eth1 ---------------------------------------------------------
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
ipchains -A input -i eth1 -s $LAN_IPs -j ACCEPT
ipchains -A output -i eth1 -d $LAN_IPs -j ACCEPT
# -- MASQ
ipchains -A forward -i eth0 -s $LAN_IPs -j MASQ
- Wizard
- Advanced member
- Сообщения: 185
- Зарегистрирован: 09 сен 2002, 11:34
- Откуда: SPb
- Контактная информация:
Ну в общем то ошибок в правилах нет, вроде всё прально, но странно что без модуля пашет! А вообще рекомендую установить iptables
Есть подозрение
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
опечптка или нет надо просто поставить
ipchains -A forward -i eth1 -s $LAN_IPs -d 0/0 -j ACCEPT
Есть подозрение
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
опечптка или нет надо просто поставить
ipchains -A forward -i eth1 -s $LAN_IPs -d 0/0 -j ACCEPT
подозрение не совсем в точку - мое правило работает на локальную сетку - а по поводу выхода в 0/0 - работает правило маскарада нижеWizard писал(а):Есть подозрение
ipchains -A forward -i eth1 -s $LAN_IPs -d $LAN_IPs -j ACCEPT
опечптка или нет надо просто поставить
ipchains -A forward -i eth1 -s $LAN_IPs -d 0/0 -j ACCEPT
уважаемый Wizard, если Вы не в курсе как работает ipchains с ftp - то, простите, нам с Вами не по пути. iptables действительно загружая СВОЙ модуль ip_nat_ftp подгружает также и ip_conntrack_ftp, но это совершенно другая история , т.к. она про iptables, а не про ipchains.Wizard писал(а):Ага!
Ну я тока прикинул на вскидку т.к. ipchains давно не использовал, а в iptables не использую маскарад а делаю нат поэтому и надо 2 правила
Тогда я не понял не работает внутренний фтп или внешний, и всёже странно я раньше догружал модули ip_conntrack_ftp или както там называемые
Wizard - а теперь бодрым голосом ответьте мне как сделать ipchains'ом NAt а не маскарад ???
можете даже на ман взлянуть - я подожду.
ман начинать читать со слов
A firewall rule specifies criteria for a packet, and a
target. If the packet does not match, the next rule in
the chain is then examined; if it does match, then the
next rule is specified by the value of the target, which
can be the name of a user-defined chain, or one of the
special values ACCEPT, DENY, REJECT, MASQ, REDIRECT, or
RETURN.
если найдете слово NAT - c меня бутылка
можете даже на ман взлянуть - я подожду.
ман начинать читать со слов
A firewall rule specifies criteria for a packet, and a
target. If the packet does not match, the next rule in
the chain is then examined; if it does match, then the
next rule is specified by the value of the target, which
can be the name of a user-defined chain, or one of the
special values ACCEPT, DENY, REJECT, MASQ, REDIRECT, or
RETURN.
если найдете слово NAT - c меня бутылка
- Wizard
- Advanced member
- Сообщения: 185
- Зарегистрирован: 09 сен 2002, 11:34
- Откуда: SPb
- Контактная информация:
На http://linuxnews.ru/docs/ в разделе "Старое" есть статья multika о том как делать нат.
http://linuxnews.ru/docs/old/nat.txt
http://linuxnews.ru/docs/old/nat2.txt
http://linuxnews.ru/docs/old/nat.txt
http://linuxnews.ru/docs/old/nat2.txt
Кто сейчас на конференции
Сейчас этот форум просматривают: Bing [Bot] и 0 гостей