ftp server za maskaradou, portfw

Středa Prosinec 5 10:10:29 CET 2001

On Wed, 5 Dec 2001, Ing. Pavel PaJaSoft Janousek wrote:

:David Tok wrote:
:> Chtel bych se zeptat, ipmasqadm forwardovane porty vynecha z masquaradovani?
:> Ono problem tu byl prave v tom, ze masq. prehodila odchozi port z 20
:> (server vevnitr) na nejaky svuj docasny (!= 20).
:
:	Ufff... tak ted jste mne otazkou dostal, ale zpet... - pokud se bavime
:o aktivnim modu FTP, skutecne nejde pres maskaradu, resp. jde, ale
:neuplatni se pravidlo ve FORWARD chainu (nejake <localsite>/<maska> -j
:MASQ), ale prave ty pravidla z portforwardu (tato konverze je totiz
:obousmerna!).

jasne, tak jsem to vicemene predpokladal, ale puvodni problem byl prave v 
tom, nebo teda aspon jsem to tak pochopil, ze jsou porty forwardovane a 
presto se na ne uplatnuje masq. pravidle ve forward. To me zmatlo.

:	Pokud Vam to nevadi, tak aktivni prenos funguje (prave jsem si to
:overil), bohuzel jsem nedosel zatim na zpusob, jak to same provest i s
:pasivnim rezimem (podotykam, ze na gateway bezi jak ip_masq_portfw, tak
:ip_masq_ftp) - jedna se totiz o to, ze pri pasivnim rezimu se klient (je
:jedno, zda-li za maskaradou ve 3. siti nebo na verejne routovatelne
:adrese) snazi konektit nikoli na <verejna-ip>:<dohodnuty port>, ale na
:<lokalni-ip>:<dohodnuty port> (dohodnuty port je jiz navazane spojeni,
:nikoli nejaky dalsi) => je jasne, ze s lokalni IP se packet daleko
:nedostane...:-( - zalezi na okolnostech routovani, nejspis zarve primo
:connect:
:
:ftp> ls
:227 Entering Passive Mode (10,0,0,253,119,34)
:ftp: connect: Connection timed out
:ftp>
:
:ftp> ls
:227 Entering Passive Mode (10,0,0,253,121,148)
:ftp: connect: Síť není dostupná
:ftp>

No me se prave toto doma povedlo, teda za pomoci iptables, ne ipchains. De
o to, ze si na ftp serveru uvnitr jsem nastavil, ze pokud bude odpovidat
na pozadavek z venku, tak bude uvadet verejnou adresu (kterou fyzicky na
zadnem svem zarizeni nema, ale je na firewallu), a iptables na ftp-serveru
me zmeni zdrojovou ip na verejnou. Navic pokud je v passivnim rezimu tak
odpovida na vyhrazenych portech. Tyto vyhrazene porty jsou stejne jako 20
a 21 forwardovane z firewallu. Masq. mam nastavenou tak, ze masq. pouze 
podsit 10.0.0.0/8 takze packety z ftp serveru (ty maji zdrojovou ip 
verenou) jsou masq. ignorovany.

:- prvni je pokus z verejne routovatelne IP, druhy je pokus ze stroje,
:ktery je za maskaradou v dalsi siti (uplne jina lokalita) (10.0.0.253 je
:lokalni IP adresa FTP serveru)
:
:	Zaver: predchozi navod na ipmasqadm portfw je funkcni pro aktivni rezim
:FTP prenosu, pasivni jsem zatim nezlomil (zakaznik si nestezoval'-) a
:aktivni mu staci - po patricnem skoleni), vi nekdo co s tim? Pripadne
:uvitam i prakticky odzkouseny postup na 2.4. jadrech (prosim ne
:teoreticke konstrukce jak by mohlo) pres iptables...

uups :-) U ipchains si myslim, ze by to slo obdobne, pouze mozna orisek by 
byl se zmenou zdrojove adresy na ftp serveru. (ipchains jsem pouzival 
pouze na male veci, na velke mam iptables, takze nevim, co vsecho 
ipmasqadmin dokaze)

-- david tok