| 1 |
Hi!
|
| 2 |
|
| 3 |
On Wed, Oct 19, 2005 at 12:38:42AM +0300, Kanogin A.A. wrote:
|
| 4 |
> Стоит такой вопросик: |
| 5 |
> есть шлюз на ип 195.122.x.x прописаны правила для ната. |
| 6 |
> на шлюзе два сетевых интерфейса: |
| 7 |
> eth0 195.122.x.x |
| 8 |
> eth1 192.168.0.254 |
| 9 |
> |
| 10 |
> вопрос, какое правило нужно прописать, чтобы внутренний клиент - |
| 11 |
> 192.168.0.1 мог ходить через этот шлюз по ftp не в пассивном режиме, |
| 12 |
> т.е. разрешать устанавливаемые ftp соединения коннектиться на другие |
| 13 |
> порты? |
| 14 |
> |
| 15 |
> правила ната: |
| 16 |
> iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT |
| 17 |
> iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT |
| 18 |
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE |
| 19 |
|
| 20 |
Никак нельзя. Либо нат, либо активный ftp. Подумай сам, при активном ftp
|
| 21 |
клиент (192.168.0.1) открывает у себя на машине какой-то порт и сообщает его
|
| 22 |
серверу. Сервер пытается коннектиться на этот порт, но не на машину клиента,
|
| 23 |
а на твой роутер, из-за ната. Как ты в этой ситуации можешь гарантировать что
|
| 24 |
на твоём роутере в этот момент выбранный клиентом порт свободен и ты можешь
|
| 25 |
его прозрачно завернуть на клиентскую машину?
|
| 26 |
|
| 27 |
По большому счёту, чтобы это работало твой роутер должен отследить передачу
|
| 28 |
порта клиентом серверу и на лету ИЗМЕНИТЬ в передаваемой ftp-команде номер
|
| 29 |
этого порта на тот, который в этот момент свободен на роутере плюс добавить
|
| 30 |
информацию о связи этих портов на клиенте и роутере в нат. Я не знаю
|
| 31 |
файрволов, которые такое умеют делать... хотя, может что-нить из коллекции
|
| 32 |
patch-o-matic такое и может.
|
| 33 |
|
| 34 |
Вопрос только чем тебе пассивный ftp настолько мешает, чтобы в такие дебри
|
| 35 |
забираться? Если уж категорично нужен активный ftp на клиенте - может
|
| 36 |
какая-нить прокся поможет или выдай этому клиенту реальный IP, и без нат.
|
| 37 |
|
| 38 |
--
|
| 39 |
WBR, Alex.
|
| 40 |
--
|
| 41 |
gentoo-user-ru@g.o mailing list |
Archives