iptables: Ftp za firewallem na lokalni server

[fnuki]

Pochopili jste to spravne, co se tyce DNS, jet disketova FW s casching DNS
a ve vnitrni siti je kolem 20 pocitacu. Ftp pristup z vnitni site neni 
uplne nezbytny
(maji sambu) ale pro poradek se to hodi. presmerovani portu jak radite 
jsem dal
ale vysledek je porad stejny. I s maskaradou se o moc dal nedostanu.

Da se nejak stopovat paket? Na diskete je syslog vypnuty, neni kam 
zapisovat,
ale dalo by se nejak sledovat co se s paketem deje?

Co chci je aby pokud z vnitrni site nekdo zadal pripojeni na nasi 
verejnou ip
aby FW jednoduse poslala pozadavek na vnitrni stroj. Jak uz jsem psal,
z webem, mailem, ssh... to funguje, premyslim proc se to ftp nechce spojit.

Honza

Slavek Banko wrote:
> Doplňte ještě, aby se zdrojová adresa paketu změnila na IP firewallu, aby 
> byla zajištěna i správná zpáteční cesta paketu.
>
> iptables -t nat -A POSTROUTING -o $LAN_IFACE -s $INSIDE_NET -d $FTPLAN_IP 
> --dport 20:21 -j MASQUERADE
>
> Slávek.
>
> Dne út 4. října 2005 9:49 Petr Vyhnal napsal(a):
>   
>> Jestli sem to dobre pochopil, tak mate firemni sit, v ni kupu pocitacu
>> a jeden FTP server, na krety se z venci pristupuje jako na ftp.firma.cz
>> a ted chcete to same z vnitrni site. V tom pripade je daleko
>> jednoduzzsi a mozna i cistejsi udelat ot pres lokalni DNS zony, kde si
>> nastavite, ze v ramci lokalni site ma ftp.firma.cz vnitrni IP adresu v
>> lokalni siti. Usetrite si tim obdobne silenosti na firewallu. Pomoci FW
>> by to mohlo fungovat nejak takhle:
>> iptables -t nat -A PREROUTING -i $LAN_IFACE -s $INSIDE_NET -d $INET_IP
>> \ --dport 20:21 -j DNAT --to-destination $FTPLAN_IP
>>     
>
>