[Sysadmins] проброс порта для ftp

[Sysadmins] проброс порта для ftp

[Slava Dubrovskiy]

Здравствуйте.

Об этом писалось, и похоже не раз, но что-то я торможу и не могу ни
найти ни самому додуматься.

Есть ftp сервер, доступ к которому разрешен только с другого сервера.
Мне необходимо так настроить второй сервер, чтобы можно было
использовать ftp первого сервера.

Для этого использую iptables. Правила вот такие:

IPTABLES="/sbin/iptables"
INET_IFACE="eth0"
INET_IP=IP второго сервера
FTP_SERVER_IP= IP ftp сервера

$IPTABLES -t nat -A PREROUTING -d $INET_IP -i $INET_IFACE -p tcp -m tcp
--dport 2111 -j DNAT --to-destination $FTP_SERVER_IP:20
$IPTABLES -t nat -A PREROUTING -d $INET_IP -i $INET_IFACE -p tcp -m tcp
--dport 2112 -j DNAT --to-destination $FTP_SERVER_IP:21
$IPTABLES -t nat -A POSTROUTING -d $FTP_SERVER_IP -o $INET_IFACE -p all
-j SNAT --to-source $INET_IP

Но при этих правилах происходит только конект к серверу, а список
каталогов не показывает. И это не зависимо от активного или пассивного
режимов.
Т.е. не происходит передача данных. Подскажите, как правильно
пробрасывать ftp?

-- 
WBR,
Dubrovskiy Vyacheslav

Re: [Sysadmins] проброс порта для ftp

[Evgeniy Kozhuhovskiy]

Slava Dubrovskiy wrote:
> Здравствуйте.
> 
> Об этом писалось, и похоже не раз, но что-то я торможу и не могу ни
> найти ни самому додуматься.
> 
> Есть ftp сервер, доступ к которому разрешен только с другого сервера.
> Мне необходимо так настроить второй сервер, чтобы можно было
> использовать ftp первого сервера.
> 
> Для этого использую iptables. Правила вот такие:
> 
> IPTABLES="/sbin/iptables"
> INET_IFACE="eth0"
> INET_IP=IP второго сервера
> FTP_SERVER_IP= IP ftp сервера
> 
> $IPTABLES -t nat -A PREROUTING -d $INET_IP -i $INET_IFACE -p tcp -m tcp
> --dport 2111 -j DNAT --to-destination $FTP_SERVER_IP:20
> $IPTABLES -t nat -A PREROUTING -d $INET_IP -i $INET_IFACE -p tcp -m tcp
> --dport 2112 -j DNAT --to-destination $FTP_SERVER_IP:21
> $IPTABLES -t nat -A POSTROUTING -d $FTP_SERVER_IP -o $INET_IFACE -p all
> -j SNAT --to-source $INET_IP
> 
> Но при этих правилах происходит только конект к серверу, а список
> каталогов не показывает. И это не зависимо от активного или пассивного
> режимов.
> Т.е. не происходит передача данных. Подскажите, как правильно
> пробрасывать ftp?
> 
modprobe ip_conntrack_ftp

-- 
With best regards, Evgeniy Kozhuhovskiy,
              Network Administrator of MGTS // ugenk(at)mgts.by

Re: [Sysadmins] проброс порта для ftp

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 409 bytes --]

Evgeniy Kozhuhovskiy пишет:
> modprobe ip_conntrack_ftp
>
# /sbin/lsmod | grep ^ip_
ip_nat_ftp              7313  0
ip_conntrack_ftp       74801  1 ip_nat_ftp
ip_conntrack           54297  4
ip_nat_ftp,ip_conntrack_ftp,iptable_nat,ipt_state
ip_tables              21825  7
ipt_LOG,ipt_limit,iptable_nat,ipt_state,ipt_recent,iptable_filter,iptable_mangle

-- 
WBR,
Dubrovskiy Vyacheslav



[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] проброс порта для ftp

[Serge]

В сообщении от Monday 09 July 2007 15:32:18 Slava Dubrovskiy написал(а):
> Evgeniy Kozhuhovskiy пишет:
> > modprobe ip_conntrack_ftp
>
> # /sbin/lsmod | grep ^ip_
> ip_nat_ftp              7313  0
> ip_conntrack_ftp       74801  1 ip_nat_ftp
> ip_conntrack           54297  4
> ip_nat_ftp,ip_conntrack_ftp,iptable_nat,ipt_state
> ip_tables              21825  7
> ipt_LOG,ipt_limit,iptable_nat,ipt_state,ipt_recent,iptable_filter,iptable_m
>angle
А если сделать для всех цепочек по умолчанию политику ACCEPT и потом 
поробовать еще раз?

Re: [Sysadmins] проброс порта для ftp

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1073 bytes --]

Slava Dubrovskiy пишет:
> Evgeniy Kozhuhovskiy пишет:
>> modprobe ip_conntrack_ftp
>>
> # /sbin/lsmod | grep ^ip_
> ip_nat_ftp              7313  0
> ip_conntrack_ftp       74801  1 ip_nat_ftp
> ip_conntrack           54297  4
> ip_nat_ftp,ip_conntrack_ftp,iptable_nat,ipt_state
> ip_tables              21825  7
> ipt_LOG,ipt_limit,iptable_nat,ipt_state,ipt_recent,iptable_filter,iptable_mangle
> 
> 
Спрошу на всякий случай, а установленные соединения разрешены? И
входящий трафик. Хотя, раз что-то качает...
Посмотрели-бы Вы на сессию tcpdump-ом или ещё чем...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] проброс порта для ftp

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1425 bytes --]

Andrii Dobrovol`s`kii пишет:
> Slava Dubrovskiy пишет:
>   
>> Evgeniy Kozhuhovskiy пишет:
>>     
>>> modprobe ip_conntrack_ftp
>>>
>>>       
>> # /sbin/lsmod | grep ^ip_
>> ip_nat_ftp              7313  0
>> ip_conntrack_ftp       74801  1 ip_nat_ftp
>> ip_conntrack           54297  4
>> ip_nat_ftp,ip_conntrack_ftp,iptable_nat,ipt_state
>> ip_tables              21825  7
>> ipt_LOG,ipt_limit,iptable_nat,ipt_state,ipt_recent,iptable_filter,iptable_mangle
>>
>>
>>     
> Спрошу на всякий случай, а установленные соединения разрешены? И
> входящий трафик. Хотя, раз что-то качает...
> Посмотрели-бы Вы на сессию tcpdump-ом или ещё чем...
>   
Я так понял, что iptables не может это, т.к. сначала используется dnat,
а затем nat. Для nat работает модуль и все нормально, но когда, например
в пассивном режиме с ервер открывает порт, то клиент не может на него
законектится т.к. не знает какой порт открыт.

Вообщем плюнул я и поставил squid как ftp прокси. Так работает.

Спасибо всем откликнувшимся.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] проброс порта для ftp

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 1737 bytes --]

Slava Dubrovskiy пишет:
> Здравствуйте.
> 
> Об этом писалось, и похоже не раз, но что-то я торможу и не могу ни
> найти ни самому додуматься.
> 
> Есть ftp сервер, доступ к которому разрешен только с другого сервера.
> Мне необходимо так настроить второй сервер, чтобы можно было
> использовать ftp первого сервера.
> 
> Для этого использую iptables. Правила вот такие:
> 
> IPTABLES="/sbin/iptables"
> INET_IFACE="eth0"
> INET_IP=IP второго сервера
> FTP_SERVER_IP= IP ftp сервера
> 
> $IPTABLES -t nat -A PREROUTING -d $INET_IP -i $INET_IFACE -p tcp -m tcp
> --dport 2111 -j DNAT --to-destination $FTP_SERVER_IP:20
> $IPTABLES -t nat -A PREROUTING -d $INET_IP -i $INET_IFACE -p tcp -m tcp
> --dport 2112 -j DNAT --to-destination $FTP_SERVER_IP:21
> $IPTABLES -t nat -A POSTROUTING -d $FTP_SERVER_IP -o $INET_IFACE -p all
> -j SNAT --to-source $INET_IP
> 
> Но при этих правилах происходит только конект к серверу, а список
> каталогов не показывает. И это не зависимо от активного или пассивного
> режимов.
> Т.е. не происходит передача данных. Подскажите, как правильно
> пробрасывать ftp?

Надо загружать ip_conntrack_ftp с указанием в параметрах номеров портов.
Иначе оно ищет ftp-сессии только на 21 порту.


# modinfo ip_conntrack_ftp
filename:
/lib/modules/2.6.18-wks-smp-alt2/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko
description:    ftp connection tracking helper
author:         Rusty Russell <rusty@rustcorp.com.au>
license:        GPL
srcversion:     E07D023E5C1EEB48A791EB8
depends:        ip_conntrack
vermagic:       2.6.18-wks-smp-alt2 SMP mod_unload 586 REGPARM gcc-4.1
parm:           ports:array of ushort
parm:           loose:bool


Ну и загрузить ip_nat_ftp.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]