https://www.opennet.ru/openforum/vsluhforumID1/85523.html Добрый день.<br><br>Помогите пожалуйста решить следующую пролему:<br>Установил SuSE 11.1, настроил с помощью SuSEfirewall через yast маршрутизацию.<br>(Оговорюсь что стоит прокси сервер SQUID)<br>С машин локальной сети не могу зайти на определенные ftp сервера.<br>При подключении принимается пароль имя пользователя, но когда начинает читать список каталогов и файлов зависает, после чего разрывает подключение и пробует подключаться повторно.<br>Пробовал ставить пассивный режим подключения - не помогает, только показывает пустой каталог, при том что там есть папки. <br>Пробовал заходить с самого NAT сервера, выдает:<br><br>Статус:Соединяюсь с &lt;IP сервера&gt;:21...<br>Статус:Соединение установлено, ожидание приглашения...<br>Ответ:220 Xlight FTP Server 2.8 &#231;&#224;&#239;&#243;&#249;&#229;&#237;...<br>Команда:USER user<br>Ответ:331 &#210;&#240;&#229;&#225;&#243;&#229;&#242;&#241;&#255; &#239;&#224;&#240;&#238;&#235;&#252; user<br>Команда:PASS ********<br>Ответ:230 &#194;&#245;&#238;&#228; &#226; &#241;&#232;&#241;&#242;&#229;&#236;&#243 https://www.opennet.ru/openforum/vsluhforumID1/85523.html#9 Mon, 15 Jun 2009 04:56:18 GMT Именно про эту доку я и спрашивал.<br><br>Большое спасибо.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/85523.html#8 Wed, 10 Jun 2009 16:05:20 GMT как было сказано выше действительно изучение документации это обязанность админа и именно это занятие даёт знания.почитайте http://www.opennet.ru/docs/RUS/iptables/ очень хорошая дока.Рад был помочь.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/85523.html#7 Tue, 09 Jun 2009 19:26:19 GMT изучение документации, это обязаность профи ;)<br> https://www.opennet.ru/openforum/vsluhforumID1/85523.html#6 Tue, 09 Jun 2009 17:53:02 GMT Помогло!!!<br><br>Добавил в конфиг SuSEfirewall2 в параметр FW_LOAD_MODULES<br>nf_nat_ftp и nf_conntrack_ftp<br>Получилось:<br>FW_LOAD_MODULES="nf_conntrack_netbios_ns nf_nat_ftp nf_conntrack_ftp"<br><br>Теперь работает.<br><br>PS: sonkilla, подскажите как вышли на такое решение. Хотелось бы знать, ведь не всегда есть те, кто знают.<br><br>Очень Благодарен.<br><br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/85523.html#5 Fri, 05 Jun 2009 04:50:15 GMT попробуйте вот это <br>/sbin/modprobe ip_conntrack_ftp<br>/sbin/modprobe ip_nat_ftp<br>незнаю как в сусе но в редхадопадобных решаеться вроде так и еще добавьте /sbin/modprobe ip_nat_pptp это для оргранизации впн связи через ваш шлюз мож пригодиться в будущем.<br> https://www.opennet.ru/openforum/vsluhforumID1/85523.html#4 Thu, 04 Jun 2009 23:55:32 GMT &gt;проблема решается ПРИНЦИПИАЛЬНО: <br>&gt;<br>&gt;1. firewall -- это вообще излишне. нужно только на венде <br><br>Дело в том, что при тестировании я пробовал отключать блокирование портов на внешнем интерфейсе (через конфиг SuSEfirewall2) не помогло, да и в логах писалось что всё проходит ( подкинули идею настроить ROUTE, как вариант).<br><br>&gt;<br>&gt;2. NAT -- это неотъемлемая часть старого ipv4-протокола.. <br>&gt;нужно использовать ipv6 <br><br>NAT нужен так как сервер - это шлюз, через который пользователи в инет, с помощью squid-а.<br>Скажу чесно я ещё не работал с ipv6. <br>Каким образом он позволяет пользователям локальной сети от имени одного статического IP v4 выходить в интернет и в частности подключаться к FTP серверу банка (пропускающего именно это IP v4). <br><br>&gt;(с владельцу ftp-сервера скажите чтобы предоставил ipv6-адреса от своего ftp :-) ) <br>&gt;<br><br>Дело в том, что FTP сервер, к которому я обращаюсь - это сервер банка, через него идет обмен файлами. Сомневаюсь что они возьмут и перейдут на ipv6 по моей, просьбе.<br><br>Думаю проще будет https://www.opennet.ru/openforum/vsluhforumID1/85523.html#3 Thu, 04 Jun 2009 23:41:56 GMT &gt;lsmod &#124; grep nat в студию! <br><br>Вот, результаты:<br><br>iptable_nat 5908 1 <br>nf_nat 19544 2 ipt_MASQUERADE,iptable_nat<br>nf_conntrack_ipv4 10480 28 iptable_nat,nf_nat<br>nf_conntrack 67400 7 ipt_MASQUERADE,iptable_nat,nf_nat,xt_NOTRACK,xt_state,nf_conntrack_netbios_ns,nf_conntrack_ipv4<br>ip_tables 11348 3 iptable_nat,iptable_raw,iptable_filter<br>x_tables 14500 12 ipt_MASQUERADE,xt_pkttype,xt_TCPMSS,xt_tcpudp,ipt_LOG,xt_limit,iptable_nat,xt_NOTRACK,ipt_REJECT,xt_state,ip_tables,ip6_tables<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/85523.html#2 Thu, 04 Jun 2009 18:42:18 GMT lsmod &#124; grep nat в студию!<br> https://www.opennet.ru/openforum/vsluhforumID1/85523.html#1 Thu, 04 Jun 2009 14:28:08 GMT &gt;[оверквотинг удален]<br>&gt;Ответ: 200 Type set to I. <br>&gt;Команда: PORT 90,188,252,158,193,93 <br>&gt;Ответ: 200 &#234;&#238;&#236;&#224;&#237;&#228;&#224; PORT &#226;&#251;&#239;&#238;&#235;&#237;&#229;&#237;&#224; &#243;&#241;&#239;&#229;&#248;&#237;&#238; <br>&gt;Команда: LIST <br>&gt;Ответ: 150 &#206;&#242;&#234;&#240;&#251;&#242;&#232;&#229; ASCII &#240;&#229;&#230;&#232;&#236;&#224; &#239;&#229;&#240;&#229;&#228;&#224;÷&#232; &#228;&#224;&#237;&#237;&#251;&#245; /bin/ls (220 &#225;&#224;&#233;&#242;). <br>&gt;Ошибка: Превышено время ожидания соединения <br>&gt;Ошибка: Не могу получить список каталогов! <br>&gt;<br>&gt;Подскажите что смотреть что читать. <br>&gt;Заранее благодарен. <br><br>правильно всё.. активный-ftp не работает с NAT и firewall [без определённых извращений]<br><br>проблема решается ПРИНЦИПИАЛЬНО:<br><br>1. firewall -- это вообще излишне. нужно только на венде<br><br>2. NAT -- это неотъемлемая часть старого ipv4-протокола.. <br>нужно использовать ipv6 <br>(с владельцу ftp-сервера скажите чтобы предоставил ipv6-адреса от своего ftp :-) )<br><br><br>