[linux] iptables - SNAT,FTP ale !21

[M.F. PSIkappa]

Hmm, a naco to komplikovat ?
Ak som to spravne pochopil, tak mas 1 router s viacerymi rozhraniami,
z ktorych jedno je localna siet a napr. druhe je DMZ.

Nieje to sice 2 krat najkrajsie riesenie, ale malo by fungovat.
Cize na routery nastav pravidla tak, aby packety z localnej siete do DMZ
neboli masqueradovane a uprav prislusne rules, aby povolovali taky trafik
a malo by to fungovat...

No dobre a teraz ciste riesenie, ktore som vygooglil za 7 minut otazkou:
iptables ftp SNAT "other port than 21"
a dalo mi to presne 1 relevantny odkaz.

Treba natiahnut modul ip_conntrack a aj ip_nat_ftp s parametrami. Ako
parametre zadas porty, na ktorych predpokladas ftp ...

modprobe ip_conntrack_ftp ports=21,n1,n2,...,n7

A maximum of 8 ports can be monitored.

Just do the same for ip_nat_ftp.

On Tue, 28 Jan 2003, Erik Ilavsky wrote:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Ahoj vseci,
> mal by som dotaz potrebujem nastavit preklad ip na routry pre ftp (ale NIE na
> porte 21,trebarz 6500), situacia je taka
>
> [local (10.0.0.x)]------[router]------[DMZ (verejne ip)]
>
> pokial to nakonfigurujem na standartny port 21 tak to kompletne funguje
> (aktiv aj pasiv). ale na inom porte to nefunguje (resp kanal pre data
> neotvori(nepreklada) ,akoby nefungoval ip_nat_ftp).
> mam zavadene aj moduly ip_conntrack_ftp a ip_nat_ftp.
> pravidla (vynatok):
>
> iptables -A FORWARD -p tcp -s 10.0.0.x/32 -d verejna_servera/32 --dport 6500
> -j ACCEPT
> iptables -t nat -A POSTROUTING  -p tcp -s 10.0.0.x/32 -d verajna_servera/32
> --dport 6500 -j SNAT --to-source verejna_IP_routra
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> Samozrejme som poprosil o radu kamarata googla aj archiv no nic relevantne som
> nenasiel (ani ci je to mozne). Vdaka za akykolvek napad a Vas cas.
>
> S pozdravom
> Erik Ilavsky

--
`)_|_('       PSIkappa
   I k        psi _at_ talker.sk