Новые ответы

Вопрос с ГУРУ,

fantom_111, 27-Апр-07, 17:00 [смотреть все]

Люди добрые подскажите. В Линуксе я полный новичек. Необходимо сделать что бы пользователи локальной сети имели доступ в инет но только по следующим портам: 21,80.
Создал я правили:
-A POSTROUTING -s X.X.X.X -j ACCEPT
-A POSTROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 21,80 -j SNAT --to-source X.X.X.X
И все бы хорошо, но тут высняется что нет доступа к ФТП серверам в инете, выдается сообщение ФТП-го клиента: 500 Invalid PORT command. В пассивном режиме тоже проверял, тот же результат.
Порылся на форумах а там пишется что необходм открывать доступ как минимум до 1024 порта.
Неужели нет никакого другого выхода.

Ответить | Сообщить модератору

Вопрос с ГУРУ, Nimdar, 17:15 , 27-Апр-07 (1)
http://slacksite.com/other/ftp.html
Ответить | Сообщить модератору

Вопрос с ГУРУ, fantom_111, 17:28 , 27-Апр-07 (2)
>http://slacksite.com/other/ftp.html
Статья видемо полезная, но не свсем понятно как она относится к моему вопросу. Я так и не понял что нужно добавить в мою конфигурацию, что б все заработало. Добавил 1023 порт не помогло.
Ответить | Сообщить модератору

Вопрос с ГУРУ, Nimdar, 17:42 , 27-Апр-07 (4)
>>http://slacksite.com/other/ftp.html
>
>Статья видемо полезная, но не свсем понятно как она относится к моему
>вопросу. Я так и не понял что нужно добавить в мою
>конфигурацию, что б все заработало. Добавил 1023 порт не помогло.
Всего навсего прочитать статью. Там даже приведены очень наглядные схемы.
Ответить | Сообщить модератору

Вопрос с ГУРУ, AlexF, 17:39 , 27-Апр-07 (3)
Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
Ответить | Сообщить модератору

Вопрос с ГУРУ, fantom_111, 17:48 , 27-Апр-07 (5)
>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>
Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так как с этим можно все таки бороться или же необходимо открывать порты с 1024 по 65535!?
Ответить | Сообщить модератору

Вопрос с ГУРУ, AlexF, 18:13 , 27-Апр-07 (6)
Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
В пассивном режиме должны быть открыты удаленные порты > 1024.

>>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>>
>Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так
>как с этим можно все таки бороться или же необходимо открывать
>порты с 1024 по 65535!?

Ответить | Сообщить модератору

Вопрос с ГУРУ, dsda, 18:29 , 27-Апр-07 (7)
>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.
>
>
>>>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>>>
>>Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так
>>как с этим можно все таки бороться или же необходимо открывать
>>порты с 1024 по 65535!?
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
Ответить | Сообщить модератору
Вопрос с ГУРУ, fantom_111, 21:04 , 27-Апр-07 (8)
>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.
Получается мне надо открыть порт 1024 на вход?
Ответить | Сообщить модератору
Вопрос с ГУРУ, fantom_111, 21:16 , 27-Апр-07 (9)
>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.
т.е. по идее мое правило должно выглядеть следующим образом:
-A POSTROUTING -s X.X.X.X -j ACCEPT
-A POSTROUTING -p tcp -s 192.168.0.0/24 --sport 1024 -j SNAT --to-source X.X.X.X
-A POSTROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 20,21,80 --to-source X.X.X.X
И еще просьба не пинать сильно, я ведь новичек.
Ответить | Сообщить модератору

Вопрос с ГУРУ, fantom_111, 10:34 , 28-Апр-07 (10)
Подскажите что мне делать, желательно с примерами или хотябы ссылкой на пример.
Ответить | Сообщить модератору

Вопрос с ГУРУ, fantom_111, 10:51 , 28-Апр-07 (11)
А будут работать эти параметры после перезапуска компьютера:
   modprobe iptable_nat
   modprobe ip_conntrack_ftp
   modprobe ip_nat_ftp
   modprobe ip_nat_irc
И если нет то что надо сделать что бы они подгружались в момент загрузки?
Ответить | Сообщить модератору
Вопрос с ГУРУ, Nimdar, 10:55 , 28-Апр-07 (12)
Ну почему ты не хочешь ВНИКНУТЬ в статью, ссылку на которую я тебе привёл? Не хочешь прочесть статью, или не можешь, или не понимаешь английского (тогда уж точно быть тебе вечным новичком), то почему ты не хочешь хотя бы попытаться ПОНЯТЬ ЧТО нарисовано на схеме? Проще уж ничего быть не может.
Если ты новичок, то с таким отношением к делу, ты никогда ничему не научишься.
Подсказка. Соединение с 20 порта инициирует СЕРВЕР, а не клиент. Дальше думай сам.
Ответить | Сообщить модератору

Вопрос с ГУРУ, dsda, 03:27 , 29-Апр-07 (13)
все проще, не надо ничего открывать тебе...
есть модули ip_nat_ftp, ip_conntrack_ftp
вот нужные правила
iptables -t nat -A POSTROUTING -s $localnet -p tcp -m multiport --dports 21,80 -j SNAT --to-source $realip
iptables -A FORWARD -s $localnet -p tcp -m multiport --dports 21,80 -j ACCEPT
iptables -A FORWARD -s $localnet -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Ответить | Сообщить модератору