passive FTP forward problem
Dalibor Straka
dast na panelnet.cz
Pondělí Leden 21 15:34:13 CET 2008
On Mon, Jan 21, 2008 at 02:47:29PM +0100, Jan Volešák wrote:
> Dobry den,
> menil jsem router, zachoval pravidla forwardu, post i pre routingu, ale vyvstal jeden problem.
> Mam postrouting i SNAT jedné veřejné na jednu vnitřní ip adresu (a naopak) Ve forward mám povoleno vše.
> iptables -A FORWARD -i eth1 -d $ip_int -j ACCEPT
> iptables -t nat -A POSTROUTING -s $ip_int -j SNAT --to-source $ip_ext
> iptables -t nat -A PREROUTING -i eth1 -d $ip_ext -j DNAT --to-destination $ip_int
>
> eth1 - outside rozhrani, wifi
> Z LAN je ven povoleno vse.
>
> Na $ip_int sedi FTP server. Ten v ramci LAN prijima active i passive rezim klienta. Kdyz jde ale pozadavek pres router, funguje pouze aktive FTP (tcp/20-21).
> V minulosti bylo na routeru SUSE 9.3, nyni je tam OpenSUSE 10.3.
> Netusi nekdo, kde muze byt zakopany pes? Na toto by preci nemel mit vubec vliv conntrack.
> Diky za kazdou odpoved
>
Ahoj,
passive ftp: klient se pripojuje na serveruv port >1023
Pokud je server za natem, pokusi se pripojit na tento port daneho
natovaciho zarizeni a to ho nepusti, protoze tento port je neznamy.
Muze ho vsak otevrit pokud se pouzije sledovani ftp komunikace
pres ftp_conntrack a z toho textoveho protokolu se odchytne ktery
port server klientovi poslal a udela se dirka do fw (resp. pravidlo
do natu).
-- Dalibor Straka
Další informace o konferenci Linux