Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: # Opcja 2 - pasywny FTP # # Pasywny serwer FTP na innej maszynie w sieci # $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 7500:7525 -j DNAT --to-destination 10.0.0.4 $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 7500:7525 --sport 7500:7525 -j ACCEPT W trybie pasywnym porty sa losowe, tak zrodlowe, jak i docelowe. powinno to raczej miec postac 1024: Pozdrawiam, Witaj, na ftp-ie mam ustawiony zakres portów na którym czuwa usługa i tylko te uwzględniłem na firewallu. Pozdrawiam Maciej -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul ip_nat_ftp. pzdr Bohdan Sydor Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? Serdecznie dziękuję i pozdrawiam Maciej Kóska -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Mariusz Sielicki pisze: W dniu 20 marca 2009 12:11 użytkownik Maciej Kóska g...@o2.pl napisał: Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul ip_nat_ftp. pzdr Bohdan Sydor Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? Serdecznie dziękuję i pozdrawiam Maciej Kóska Modul ten zapewnia sledzenie polaczen ftp przechodzacych przez NAT'a. dzieki niemu router wie czy polaczenie data_ftp na jakis wysoki porty pochodzi od juz nawiazanego polaczenie ftp na port 21. Dlatego wg mnie dla odpalenia pasywnego ftp w twoim przypadku zupelnie wystarczyloby: $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 21 -j DNAT --to-destination 10.0.0.4:21 http://10.0.0.4:21/ $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 21 -j ACCEPT Pozdrawiam Mariusz Sielicki Tzn, wystarczyłoby samo doładowanie modułu o którym wspomniałeś oraz samo przekierowanie portu 21 bez reszty reguł ?? Czy o to ci chodziło ?? Raz jeszcze dziękuję za pomoc Pozdrawiam Maciej Kóska -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? W dalszym ciagu podchodzac minimalistycznie :-) istnieje kilka modulow, ktore sledza polaczenia dla wybranych protokolow. ip_conntrack_ftp sledzi polaczenia FTP i automatycznie otwiera potrzebne wysokie porty. Z kolei ip_nat_ftp zajmuje sie modyfikacja pakietow FTP dla maszyn za natem. Najlepiej ladowac parami moduly ip_(conntrack|nat)_PROTOKOL. pzdr Bohdan Sydor -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Bohdan Sydor wrote: ip_conntrack_ftp sledzi polaczenia FTP i automatycznie otwiera potrzebne wysokie porty. Z kolei ip_nat_ftp zajmuje sie modyfikacja pakietow FTP dla maszyn za natem. Wystarczy zaladowac ip_nat_ftp, modprobe zajmie sie zaleznosciami (ip_nat, ip_conntrack, ip_conntrack_ftp). P.S. W nowszych kernelach prefix ip_ zastapiony zostal przez nf_ ip_* wciaz dziala (jest aliasem). -- Rafal http://www.catb.org/~esr/faqs/smart-questions.html -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Mariusz Sielicki pisze: W dniu 20 marca 2009 12:42 użytkownik Maciej Kóska g...@o2.pl napisał: Mariusz Sielicki pisze: W dniu 20 marca 2009 12:11 użytkownik Maciej Kóska g...@o2.pl napisał: Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul c. pzdr Bohdan Sydor Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? Serdecznie dziękuję i pozdrawiam Maciej Kóska Modul ten zapewnia sledzenie polaczen ftp przechodzacych przez NAT'a. dzieki niemu router wie czy polaczenie data_ftp na jakis wysoki porty pochodzi od juz nawiazanego polaczenie ftp na port 21. Dlatego wg mnie dla odpalenia pasywnego ftp w twoim przypadku zupelnie wystarczyloby: $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 21 -j DNAT --to-destination 10.0.0.4:21 http://10.0.0.4:21 http://10.0.0.4:21/ $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 21 -j ACCEPT Pozdrawiam Mariusz Sielicki Tzn, wystarczyłoby samo doładowanie modułu o którym wspomniałeś oraz samo przekierowanie portu 21 bez reszty reguł ?? Czy o to ci chodziło ?? Reasumujac: 1. zaladowanie modulow: ip_tables ip_conntrack ip_conntrack_ftp ip_nat_ftp 2. Przekierowanie odpowiedniego portu: $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 21 -j DNAT --to-destination 10.0.0.4:21 http://10.0.0.4:21/ 3. zezwolenie na forward odpowiednich pakietow: $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 21 -j ACCEPT (chyba ze mialbys $IPTABLES -P FORWARD ACCEPT :)) Czyli tak jak myślałem, dziękuję za wytłumaczenie. Pozdawiam Maciej -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul ip_nat_ftp. pzdr Bohdan Sydor -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: # Opcja 2 - pasywny FTP # # Pasywny serwer FTP na innej maszynie w sieci # $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 7500:7525 -j DNAT --to-destination 10.0.0.4 $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 7500:7525 --sport 7500:7525 -j ACCEPT W trybie pasywnym porty sa losowe, tak zrodlowe, jak i docelowe. powinno to raczej miec postac 1024: Pozdrawiam, -- Rafal http://www.catb.org/~esr/faqs/smart-questions.html -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Bohdan Sydor pisze: Idac po najmniejszej linii oporu linii najmniejszego oporu -- Paweł Bogaczewicz http://www.auditmypc.com/freescan/antispam.html http://desdecuba.com/generaciony_pl/?p=583 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
