IPtables a port forwarding

Petr Pisar petr.pisar na atlas.cz
Čtvrtek Červenec 20 19:39:52 CEST 2006


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jakub Dvorak wrote:
> Jedine, co nejede, je port forwarding, v mem pripade predevsim pro FTP
> (jeden pocitac ve vnitrni siti jako FTP server i pro internet).
> Tady je muj soubor, kde se nastavuji pravidla:
> 
> #!/bin/bash
> ######## eth1 - vnitrni sit
> ######## eth0 - internet
> 
> VEN=eth0
> DOVNITR=eth1
> 
> #Zapne maskaradu
> iptables -A POSTROUTING -t nat -o $VEN -j MASQUERADE
> 
> # FTP server
> iptables -A PREROUTING -t nat  -p tcp -i $VEN --dport 21 -j DNAT --to
> 192.168.0.2:21
> iptables -A FORWARD -i $VEN -p tcp -d 192.168.0.2 --dport 21 -m state
> --state NEW,ESTABLISHED,RELATED -j ACCEPT
> iptables -A PREROUTING -t nat  -p tcp -i $VEN --dport 20 -j DNAT --to
> 192.168.0.2:20
> iptables -A FORWARD -i $VEN -p tcp -d 192.168.0.2 --dport 20 -m state
> --state NEW,ESTABLISHED,RELATED -j ACCEPT
> 
> Konkretne me teda zajima cast FTP server, ktera by mela onen PC vystavit
> na portu 20 a 21 do internetu, coz se ale nedeje.

Ja bych rekl, ze port 20 a 21 je vystaven do internetu a ze jakykoliv
paket smerujici na tyto porty je spravne presmerovan.

Problem spis bude, ze vam nejede FTP, protoze nemate zapnuty FTP
conntracking (modul ip_nat_ftp, ci jak se dnes jmenuje) a zaroven
pozivate pasivni FTP rezim.

- -- Petr
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.4 (GNU/Linux)

iD8DBQFEv7/ouR4f4nEwzHIRAr4FAJ95dsgjdmOf6QWGCwR6OGXsUBE48ACcDxNm
VMlVXKvN8rRjXgnOr+YNtWA=
=rbb7
-----END PGP SIGNATURE-----


Další informace o konferenci Linux