MASQaradovani PORTFW portu was: ftp server za maskaradou, portfw
Ondra Janal
linux-list na delay.melzer.cz
Středa Prosinec 19 12:10:38 CET 2001
----- Původní zpráva -----
Od: "Ing. Pavel PaJaSoft Janousek" <janousek na fonet.cz>
Komu: <linux na linux.cz>
Odesláno: 5. prosince 2001 9:59
Předmět: Re: ftp server za maskaradou, portfw
> David Tok wrote:
> > Chtel bych se zeptat, ipmasqadm forwardovane porty vynecha z masquaradovani?
> > Ono problem tu byl prave v tom, ze masq. prehodila odchozi port z 20
> > (server vevnitr) na nejaky svuj docasny (!= 20).
>
> Ufff... tak ted jste mne otazkou dostal, ale zpet... - pokud se bavime
> o aktivnim modu FTP, skutecne nejde pres maskaradu, resp. jde, ale
> neuplatni se pravidlo ve FORWARD chainu (nejake <localsite>/<maska> -j
> MASQ), ale prave ty pravidla z portforwardu (tato konverze je totiz
> obousmerna!).
>
Bohužel asi ne. Při aktivním ftp odchozí port 20 PODLÉHÁ masq:
[root na terminal /etc]# lsmod
Module Size Used by
ip_masq_pptp 4064 0
ip_masq_ftp 3444 0
ip_masq_autofw 2312 0 (autoclean) (unused)
ip_masq_portfw 2360 3 (autoclean)
[root na terminal /etc]# ipmasqadm portfw -l
prot localaddr rediraddr lport rport pcnt pref
TCP support ondra ftp-data ftp-data 10 10
TCP support ondra ftp ftp 8 10
[root na terminal /etc]# ipchains -M -L
IP masquerading entries
prot expire source destination ports
TCP 01:50.20 ondra addr20 ftp-data (62161) -> 61322
TCP 14:50.35 ondra addr20 ftp (21) -> 61321
[root na terminal /etc]# ipchains -L forward
Chain forward (policy DENY):
target prot opt source destination ports
MASQ all ------ anywhere anywhere n/a
... a to je právě ten původní problém! Já bych velice ocenil, kdyby PORTFW byl obousměrný, podle výpisu však není a/nebo to mám blbě.
Otázka do fóra: lze aby odchozí tok z portu třeba 20 (vnitřní adresa) zůstal po projití masq portem 20 ale už s veřejnou adresou?
Další informace o konferenci Linux