1 |
Hi!
|
2 |
|
3 |
On Wed, Oct 19, 2005 at 12:38:42AM +0300, Kanogin A.A. wrote:
|
4 |
> Стоит такой вопросик: |
5 |
> есть шлюз на ип 195.122.x.x прописаны правила для ната. |
6 |
> на шлюзе два сетевых интерфейса: |
7 |
> eth0 195.122.x.x |
8 |
> eth1 192.168.0.254 |
9 |
> |
10 |
> вопрос, какое правило нужно прописать, чтобы внутренний клиент - |
11 |
> 192.168.0.1 мог ходить через этот шлюз по ftp не в пассивном режиме, |
12 |
> т.е. разрешать устанавливаемые ftp соединения коннектиться на другие |
13 |
> порты? |
14 |
> |
15 |
> правила ната: |
16 |
> iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT |
17 |
> iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT |
18 |
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE |
19 |
|
20 |
Никак нельзя. Либо нат, либо активный ftp. Подумай сам, при активном ftp
|
21 |
клиент (192.168.0.1) открывает у себя на машине какой-то порт и сообщает его
|
22 |
серверу. Сервер пытается коннектиться на этот порт, но не на машину клиента,
|
23 |
а на твой роутер, из-за ната. Как ты в этой ситуации можешь гарантировать что
|
24 |
на твоём роутере в этот момент выбранный клиентом порт свободен и ты можешь
|
25 |
его прозрачно завернуть на клиентскую машину?
|
26 |
|
27 |
По большому счёту, чтобы это работало твой роутер должен отследить передачу
|
28 |
порта клиентом серверу и на лету ИЗМЕНИТЬ в передаваемой ftp-команде номер
|
29 |
этого порта на тот, который в этот момент свободен на роутере плюс добавить
|
30 |
информацию о связи этих портов на клиенте и роутере в нат. Я не знаю
|
31 |
файрволов, которые такое умеют делать... хотя, может что-нить из коллекции
|
32 |
patch-o-matic такое и может.
|
33 |
|
34 |
Вопрос только чем тебе пассивный ftp настолько мешает, чтобы в такие дебри
|
35 |
забираться? Если уж категорично нужен активный ftp на клиенте - может
|
36 |
какая-нить прокся поможет или выдай этому клиенту реальный IP, и без нат.
|
37 |
|
38 |
--
|
39 |
WBR, Alex.
|
40 |
--
|
41 |
gentoo-user-ru@g.o mailing list |