przekierowanie ftp, wewn

[franek1969]

Witam koledzy, problem mam taki. Mam serwer lokalny z Windows. Tam mam ftp no i bramę (Debian). Chcę na iptables przekierować tak żeby można było się dostać na ftp z zewnątrz! Na localu działa ale zewnętrznie nie.

Moje reguły (meczę się już z tym jakiś czas i dalej nie wiem):

Kod: Zaznacz cały

iptables -I FORWARD -p tcp -d IP_LOCAL_SERV --dport 1022 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:21
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:20

Na localu działa:

Kod: Zaznacz cały

ftp://IP_LOCAL_SERV
[url]ftp://IP_ZEW:1022[/url]

Na na zewnątrz:

Kod: Zaznacz cały

ftp://IP_ZEW:1022

Wyskakuje okienko logowania, podaje logi i pass i error!

Dziękuję.

[winnetou]

Dziękuję...

[franek1969]

Nie za dużo tych portów przekierowanych? 49152-65534 ładna pula, nie chcę za dużo przekierowywać, no chyba że to tak musi być.

[Dodano: 2008-10-22, 15:59]
Sprawdzone, nie działa!

[grzesiek]

Kod: Zaznacz cały

iptables -I FORWARD -p tcp -d IP_LOCAL_SERV --dport 1022 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:21
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:20

Jeżeli chodzi tylko o konfigurację bramy czyli Debiana to wystarczą tylko te dwie linijki i przekazywanie pakietów FORWARD i tu jest trochę za mało. Nie wiem jak masz tam ustawione ale ta jedna linijka dla FORWARD to za mało, a w drugą stronę hehee? Tzn. czy przekazujesz pakiety ze swojej sieci w ,,cukierkową dal''
A POSTROUTING? Jak już wychodzą sobie w ,,cukierkową dal'' dostają nowe ubranka?

[franek1969]

Jeżeli chodzi tylko o konfigurację bramy czyli Debiana to wystarczą tylko te dwie linijki i przekazywanie pakietów FORWARD i tu jest trochę za mało. Nie wiem jak masz tam ustawione ale ta jedna linijka dla FORWARD to za mało, a w drugą stronę hehee?
...

To znaczy wystarczą 2 linijki czy nie? Np. www przekierowanie działa!

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 80 -j DNAT --to IP_LOCAL_SERV:80

Czyli jeszcze FORWARD z IP_LOCAL na IP_ZEW?
Coś takiego?

Kod: Zaznacz cały

iptables -t filter -A FORWARD -s IP_LOCAL_SREV -d IP_ZEW -j ACCEPT 
iptables -t filter -A FORWARD -s IP_ZEW -d IP_LOCAL_SERV -j ACCEPT

I co z tym PREROUTINGIEM? Pomału proszę i od początku.

Dzięki

edit:
Czy to znaczy, że nikt nie jest mi w stanie pomóc?

[grzesiek]

A czy twój firewall składa się tylko z 3 linijek?

A masz coś takiego?

Kod: Zaznacz cały

modprobe ip_conntrack
modprobe ip_conntrack_ftp

[franek1969]

A czy twój firewall składa się tylko z 3 linijek?

A masz coś takiego?

Kod: Zaznacz cały

modprobe ip_conntrack
modprobe ip_conntrack_ftp

Proszę was firewall to nie tylko 3 linijki, tyle to wiem m.in. mam takie na samym początku.

Kod: Zaznacz cały

iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

iptables -P FORWARD ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

Może

Kod: Zaznacz cały

iptables -P INPUT DROP

jest temu winne?

Co robi

Kod: Zaznacz cały

modprobe ip_conntrack_ftp

po co to jest?

[fnmirk]

franek1969, dużo odpowiedzi znajduje się na Twoim komputerze.

Kod: Zaznacz cały

man man

Kod: Zaznacz cały

man modprobe

Kod: Zaznacz cały

man iptables

[grzesiek]

a masz włączone przekazywanie pakietów

Kod: Zaznacz cały

echo "1" > /proc/sys/net/ipv4/ip_forward

i przepuszczanie pakietów związanych oraz skojarzonych

Kod: Zaznacz cały

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Nie wiem czy wiesz, ale takie problemy rozwiązuje się w taki sposób: napisałeś jakaś regułę ale coś jest nie tak i nie wiesz co, więc analizujesz co się dzieje w sieci naprawdę, np. za pomocą tcpdump albo innego tego typu programu np. http://www.wireshark.org/. Gdy się wie czego się szuka to szybko zauważysz "aha tu blokuje.." zmodyfikujesz/dopiszesz regułę i powinno działać, jak nie to powtarzasz schemat aż do skutku. Dobra znajomość działania sieci oraz iptables skraca czas rozwiązywania takich problemów.