ftp server za maskaradou, portfw

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Středa Prosinec 5 09:59:07 CET 2001 

David Tok wrote:
> Chtel bych se zeptat, ipmasqadm forwardovane porty vynecha z masquaradovani?
> Ono problem tu byl prave v tom, ze masq. prehodila odchozi port z 20
> (server vevnitr) na nejaky svuj docasny (!= 20).

	Ufff... tak ted jste mne otazkou dostal, ale zpet... - pokud se bavime
o aktivnim modu FTP, skutecne nejde pres maskaradu, resp. jde, ale
neuplatni se pravidlo ve FORWARD chainu (nejake <localsite>/<maska> -j
MASQ), ale prave ty pravidla z portforwardu (tato konverze je totiz
obousmerna!).

	Pokud Vam to nevadi, tak aktivni prenos funguje (prave jsem si to
overil), bohuzel jsem nedosel zatim na zpusob, jak to same provest i s
pasivnim rezimem (podotykam, ze na gateway bezi jak ip_masq_portfw, tak
ip_masq_ftp) - jedna se totiz o to, ze pri pasivnim rezimu se klient (je
jedno, zda-li za maskaradou ve 3. siti nebo na verejne routovatelne
adrese) snazi konektit nikoli na <verejna-ip>:<dohodnuty port>, ale na
<lokalni-ip>:<dohodnuty port> (dohodnuty port je jiz navazane spojeni,
nikoli nejaky dalsi) => je jasne, ze s lokalni IP se packet daleko
nedostane...:-( - zalezi na okolnostech routovani, nejspis zarve primo
connect:

ftp> ls
227 Entering Passive Mode (10,0,0,253,119,34)
ftp: connect: Connection timed out
ftp>

ftp> ls
227 Entering Passive Mode (10,0,0,253,121,148)
ftp: connect: Síť není dostupná
ftp>

- prvni je pokus z verejne routovatelne IP, druhy je pokus ze stroje,
ktery je za maskaradou v dalsi siti (uplne jina lokalita) (10.0.0.253 je
lokalni IP adresa FTP serveru)

	Zaver: predchozi navod na ipmasqadm portfw je funkcni pro aktivni rezim
FTP prenosu, pasivni jsem zatim nezlomil (zakaznik si nestezoval'-) a
aktivni mu staci - po patricnem skoleni), vi nekdo co s tim? Pripadne
uvitam i prakticky odzkouseny postup na 2.4. jadrech (prosim ne
teoreticke konstrukce jak by mohlo) pres iptables...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux