[linux] iptables - SNAT,FTP ale !21

Erik Ilavsky ilavsky na scci.sk
Úterý Leden 28 19:44:10 CET 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Super vdaka, asi som to prehliadol.

S pozdravom 
Erik Ilavsky
Dňa Ut 28. Január 2003 19:38 M.F. PSIkappa napísal:
> Hmm, a naco to komplikovat ?
> Ak som to spravne pochopil, tak mas 1 router s viacerymi rozhraniami,
> z ktorych jedno je localna siet a napr. druhe je DMZ.
>
> Nieje to sice 2 krat najkrajsie riesenie, ale malo by fungovat.
> Cize na routery nastav pravidla tak, aby packety z localnej siete do DMZ
> neboli masqueradovane a uprav prislusne rules, aby povolovali taky trafik
> a malo by to fungovat...
>
> No dobre a teraz ciste riesenie, ktore som vygooglil za 7 minut otazkou:
> iptables ftp SNAT "other port than 21"
> a dalo mi to presne 1 relevantny odkaz.
>
> Treba natiahnut modul ip_conntrack a aj ip_nat_ftp s parametrami. Ako
> parametre zadas porty, na ktorych predpokladas ftp ...
>
> modprobe ip_conntrack_ftp ports=21,n1,n2,...,n7
>
> A maximum of 8 ports can be monitored.
>
> Just do the same for ip_nat_ftp.
>
> On Tue, 28 Jan 2003, Erik Ilavsky wrote:
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Ahoj vseci,
> > mal by som dotaz potrebujem nastavit preklad ip na routry pre ftp (ale
> > NIE na porte 21,trebarz 6500), situacia je taka
> >
> > [local (10.0.0.x)]------[router]------[DMZ (verejne ip)]
> >
> > pokial to nakonfigurujem na standartny port 21 tak to kompletne funguje
> > (aktiv aj pasiv). ale na inom porte to nefunguje (resp kanal pre data
> > neotvori(nepreklada) ,akoby nefungoval ip_nat_ftp).
> > mam zavadene aj moduly ip_conntrack_ftp a ip_nat_ftp.
> > pravidla (vynatok):
> >
> > iptables -A FORWARD -p tcp -s 10.0.0.x/32 -d verejna_servera/32 --dport
> > 6500 -j ACCEPT
> > iptables -t nat -A POSTROUTING  -p tcp -s 10.0.0.x/32 -d
> > verajna_servera/32 --dport 6500 -j SNAT --to-source verejna_IP_routra
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> > Samozrejme som poprosil o radu kamarata googla aj archiv no nic
> > relevantne som nenasiel (ani ci je to mozne). Vdaka za akykolvek napad a
> > Vas cas.
> >
> > S pozdravom
> > Erik Ilavsky

- -- 
It is easier to fix Unix than to live with NT.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE+Ns98LDQuu3gItAARAhLiAJ40Zs15k5LDJ6teBxTYLswi3J1mggCggeZz
rPzOY0w8NK6AaO0ids3+M9Q=
=twFw
-----END PGP SIGNATURE-----

Další informace o konferenci linux