Strona 1 z 1
przekierowanie ftp, wewnętrzne działa, zewnętrzne nie
: 22 października 2008, 15:42
autor: franek1969
Witam koledzy, problem mam taki. Mam serwer lokalny z Windows. Tam mam ftp no i bramę (Debian). Chcę na iptables przekierować tak żeby można było się dostać na ftp z zewnątrz! Na localu działa ale zewnętrznie nie.
Moje reguły (meczę się już z tym jakiś czas i dalej nie wiem):
Kod: Zaznacz cały
iptables -I FORWARD -p tcp -d IP_LOCAL_SERV --dport 1022 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:21
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:20
Na localu działa:
Kod: Zaznacz cały
ftp://IP_LOCAL_SERV
[url]ftp://IP_ZEW:1022[/url]
Na na zewnątrz:
Wyskakuje okienko logowania, podaje logi i pass i error!
Dziękuję.
: 22 października 2008, 15:47
autor: winnetou
Dziękuję...
: 22 października 2008, 15:53
autor: franek1969
Nie za dużo tych portów przekierowanych? 49152-65534 ładna pula, nie chcę za dużo przekierowywać, no chyba że to tak musi być.
[Dodano: 2008-10-22, 15:59]
Sprawdzone, nie działa!
Re: przekierowanie ftp, wew dziala, zew nie
: 22 października 2008, 19:10
autor: grzesiek
franek1969 pisze:Kod: Zaznacz cały
iptables -I FORWARD -p tcp -d IP_LOCAL_SERV --dport 1022 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:21
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 1022 -j DNAT --to IP_LOCAL_SERV:20
Jeżeli chodzi tylko o konfigurację bramy czyli Debiana to wystarczą tylko te dwie linijki i przekazywanie pakietów FORWARD i tu jest trochę za mało. Nie wiem jak masz tam ustawione ale ta jedna linijka dla FORWARD to za mało, a w drugą stronę hehee? Tzn. czy przekazujesz pakiety ze swojej sieci w ,,cukierkową dal''
A POSTROUTING? Jak już wychodzą sobie w ,,cukierkową dal'' dostają nowe ubranka?
: 23 października 2008, 13:05
autor: franek1969
grzesiek pisze:
Jeżeli chodzi tylko o konfigurację bramy czyli Debiana to wystarczą tylko te dwie linijki i przekazywanie pakietów FORWARD i tu jest trochę za mało. Nie wiem jak masz tam ustawione ale ta jedna linijka dla FORWARD to za mało, a w drugą stronę hehee?
...
To znaczy wystarczą 2 linijki czy nie? Np. www przekierowanie działa!
Kod: Zaznacz cały
iptables -t nat -A PREROUTING -p tcp -d IP_ZEW --dport 80 -j DNAT --to IP_LOCAL_SERV:80
Czyli jeszcze FORWARD z IP_LOCAL na IP_ZEW?
Coś takiego?
Kod: Zaznacz cały
iptables -t filter -A FORWARD -s IP_LOCAL_SREV -d IP_ZEW -j ACCEPT
iptables -t filter -A FORWARD -s IP_ZEW -d IP_LOCAL_SERV -j ACCEPT
I co z tym PREROUTINGIEM? Pomału proszę i od początku.
Dzięki
edit:
Czy to znaczy, że nikt nie jest mi w stanie pomóc?
: 23 października 2008, 19:30
autor: grzesiek
A czy twój firewall składa się tylko z 3 linijek?
A masz coś takiego?
Kod: Zaznacz cały
modprobe ip_conntrack
modprobe ip_conntrack_ftp
: 24 października 2008, 09:15
autor: franek1969
grzesiek pisze:A czy twój firewall składa się tylko z 3 linijek?
A masz coś takiego?
Kod: Zaznacz cały
modprobe ip_conntrack
modprobe ip_conntrack_ftp
Proszę was firewall to nie tylko 3 linijki, tyle to wiem m.in. mam takie na samym początku.
Kod: Zaznacz cały
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -P FORWARD ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
Może
jest temu winne?
Co robi
po co to jest?
: 24 października 2008, 13:44
autor: fnmirk
franek1969, dużo odpowiedzi znajduje się na Twoim komputerze.
: 26 października 2008, 06:16
autor: grzesiek
a masz włączone przekazywanie pakietów
i przepuszczanie pakietów związanych oraz skojarzonych
Kod: Zaznacz cały
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Nie wiem czy wiesz, ale takie problemy rozwiązuje się w taki sposób: napisałeś jakaś regułę ale coś jest nie tak i nie wiesz co, więc analizujesz co się dzieje w sieci naprawdę, np. za pomocą tcpdump albo innego tego typu programu np.
http://www.wireshark.org/. Gdy się wie czego się szuka to szybko zauważysz "aha tu blokuje.." zmodyfikujesz/dopiszesz regułę i powinno działać, jak nie to powtarzasz schemat aż do skutku. Dobra znajomość działania sieci oraz iptables skraca czas rozwiązywania takich problemów.