URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 34416
[ Назад ]

Исходное сообщение
"На половину живой ftp..."
Отправлено Susanin , 08-Сен-03 15:30

В iptables прописана маршрутизация по определенным портам (21, 100 и др.) через SNAT. Все работало недели три. Потом ftp наполовину умер, т.е. соединение устанавливается, а вот на передаче данных - соединение падает. Routing по всем другим портам работает исключительно.
IE выдает error:
425 Unable to build data connection:Connection refused.
Причем на самом маршрутизаторе все ОК.
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -P INPUT DROP
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
...
...
iptables –t nat –A POSTROUTING –o eth0 –p tcp –dports 21 –j SNAT –to x.x.x.x
Есть подозренее что это из-за State пакетов. Но ведь в них ничего не меняли.
Буду признателен за любые советы или ссылки.
Susanin

Содержание

На половину живой ftp...,iiws, 16:44 , 08-Сен-03
- На половину живой ftp...,Susanin, 17:15 , 08-Сен-03

Сообщения в этом обсуждении

"На половину живой ftp..."
Отправлено iiws , 08-Сен-03 16:44

>В iptables прописана маршрутизация по определенным портам (21, 100 и др.) через
>SNAT. Все работало недели три. Потом ftp наполовину умер, т.е. соединение
>устанавливается, а вот на передаче данных - соединение падает. Routing по
>всем другим портам работает исключительно.
>IE выдает error:
>425 Unable to build data connection:Connection refused.
>Причем на самом маршрутизаторе все ОК.
>
>iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
>
>iptables -P INPUT DROP
>iptables -A FORWARD -i eth0 -o eth0 -j REJECT
>...
>...
>iptables √t nat √A POSTROUTING √o eth0 √p tcp √dports 21 √j
>SNAT √to x.x.x.x
>
>Есть подозренее что это из-за State пакетов. Но ведь в них ничего
>не меняли.
>Буду признателен за любые советы или ссылки.
>
>Susanin
если у тебя ftp пашет тока в пассив моде, то достаточно 21 порт открыть, в этом случае клиент иницирует передачу данных по порту выше 1024, то есть порты свыше 1024 тоже должны быть открыты, иначе не сможет создать сокет. Если нет, то 20 порт нужен, в этом случае сервер иницирует передачу данных по 20 порту и порты выше 1024 не нужны.

"На половину живой ftp..."
Отправлено Susanin , 08-Сен-03 17:15

Всем сенкс. Сам решил трабл. Вы сейчас, наверное, будете жутко смеяться. надо было сделать только:
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
После того как ftp упал (меня небsло 3 недели) была перезагрузка сервака, вот он и потерял этот модуль. Да ...... И на это я убил 2 недели. Будет урок.
Susanin