[Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
@ 2008-09-27  5:07 Vitalik Salomatin
  2008-09-27  5:12 ` Yury Konovalov
                   ` (4 more replies)
  0 siblings, 5 replies; 14+ messages in thread
From: Vitalik Salomatin @ 2008-09-27  5:07 UTC (permalink / raw)
  To: community

ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. 

командами 

#iptables -t nat -A PREROUTING -d 11.11.11.61 -p 
tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112

#iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j 
MASQUERADE

пробрасываю через него 21 порт на 122 машину внутри сети для 
связи с FTP

соединяется, принимает пароль, а потом пишет:
Чтение каталога FTP 
и виснет 

22 порт и 80 пробрасываются удачно.

Что я еще не сделал?

Спасибо.



^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
  2008-09-27  5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
@ 2008-09-27  5:12 ` Yury Konovalov
  2008-09-27  5:28 ` Starodumoff Ilya
                   ` (3 subsequent siblings)
  4 siblings, 0 replies; 14+ messages in thread
From: Yury Konovalov @ 2008-09-27  5:12 UTC (permalink / raw)
  To: Vitalik Salomatin, ALT Linux Community general discussions

27 сентября 2008 г. 8:07 пользователь Vitalik Salomatin
<chelroot74@mail.ru> написал:
> командами
>
> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p
> tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112
>
> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j
> MASQUERADE
> Что я еще не сделал?

Наверное еще пробросить и 20-й порт

-- 
Best Regards, Yury Konovalov aka Speccyfan (2:453/53)
Registered Linux User #379588

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
  2008-09-27  5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
  2008-09-27  5:12 ` Yury Konovalov
@ 2008-09-27  5:28 ` Starodumoff Ilya
  2008-09-27  5:29 ` Dmitriy M. Maslennikov
                   ` (2 subsequent siblings)
  4 siblings, 0 replies; 14+ messages in thread
From: Starodumoff Ilya @ 2008-09-27  5:28 UTC (permalink / raw)
  To: community

В сообщении от 27 сентября 2008 Vitalik Salomatin написал(a):
> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть.
>
> командами
>
> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p
> tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112
>
> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j
> MASQUERADE
>
> пробрасываю через него 21 порт на 122 машину внутри сети для
> связи с FTP
>
> соединяется, принимает пароль, а потом пишет:
> Чтение каталога FTP
> и виснет
>
> 22 порт и 80 пробрасываются удачно.
>
> Что я еще не сделал?
>
> Спасибо.
modprobe ip_nat_ftp

или ограниченный диапазон портов для пассивного режима на фтп сервере и 
соответствующий dnat на шлюзе


-- 
С уважением,
Стародумов Илья

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
  2008-09-27  5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
  2008-09-27  5:12 ` Yury Konovalov
  2008-09-27  5:28 ` Starodumoff Ilya
@ 2008-09-27  5:29 ` Dmitriy M. Maslennikov
  2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
  2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
  4 siblings, 0 replies; 14+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-09-27  5:29 UTC (permalink / raw)
  To: Vitalik Salomatin, ALT Linux Community general discussions

27.09.08, Vitalik Salomatin<chelroot74@mail.ru> написал(а):
>  соединяется, принимает пароль, а потом пишет:
>  Чтение каталога FTP
>  и виснет
Насколько я помню ftp для передачи ответа устанавливает дополнительное
соединение либо от сервера к клиенту (активный режим), либо от клиента
к серверу (пассивный режим). Так что проброса одного порта для ftp не
достаточно.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт
  2008-09-27  5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
                   ` (2 preceding siblings ...)
  2008-09-27  5:29 ` Dmitriy M. Maslennikov
@ 2008-09-27 18:27 ` Michael Shigorin
  2008-09-27 18:32   ` Vyatcheslav Perevalov
  2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
  4 siblings, 1 reply; 14+ messages in thread
From: Michael Shigorin @ 2008-09-27 18:27 UTC (permalink / raw)
  To: community

On Sat, Sep 27, 2008 at 09:07:56AM +0400, Vitalik Salomatin wrote:
> Что я еще не сделал?

Если уже сказанного недостаточно -- ответьте с копией
мне, посмотрю, как в итоге сделал.  ip_nat_ftp обязателен.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт
  2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
@ 2008-09-27 18:32   ` Vyatcheslav Perevalov
  2008-09-27 18:35     ` Michael Shigorin
  0 siblings, 1 reply; 14+ messages in thread
From: Vyatcheslav Perevalov @ 2008-09-27 18:32 UTC (permalink / raw)
  To: community

В сообщении от 28 сентября 2008 Michael Shigorin написал(a):
>  ip_nat_ftp обязателен.

Миш, я может быть чего-то недопонимаю, но у меня работает _без_  
ip_nat_ftp... Что я делаю не так?

-- 
Всего хорошего
		/vip

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт
  2008-09-27 18:32   ` Vyatcheslav Perevalov
@ 2008-09-27 18:35     ` Michael Shigorin
  2008-09-27 18:45       ` Vyatcheslav Perevalov
  0 siblings, 1 reply; 14+ messages in thread
From: Michael Shigorin @ 2008-09-27 18:35 UTC (permalink / raw)
  To: community

On Sun, Sep 28, 2008 at 01:32:49AM +0700, Vyatcheslav Perevalov wrote:
> > ip_nat_ftp обязателен.
> Миш, я может быть чего-то недопонимаю, но у меня работает _без_
> ip_nat_ftp... Что я делаю не так?

ftpd с разрешённым активным режимом за DNAT?

(NB: браузеры по умолчанию или вообще используют _пассивный_)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт
  2008-09-27 18:35     ` Michael Shigorin
@ 2008-09-27 18:45       ` Vyatcheslav Perevalov
  2008-09-27 19:00         ` Michael Shigorin
  2008-09-28  6:15         ` Dmitriy M. Maslennikov
  0 siblings, 2 replies; 14+ messages in thread
From: Vyatcheslav Perevalov @ 2008-09-27 18:45 UTC (permalink / raw)
  To: community

В сообщении от 28 сентября 2008 Michael Shigorin написал(a):
> ftpd с разрешённым активным режимом за DNAT?
>

упс.. не ftpd, а ftp-client (любой). Построено на базе -m state 
NEW,ESTABLISHED,RELATED. И не за DNAT, а за MASQUERADE

> (NB: браузеры по умолчанию или вообще используют _пассивный_)

Не факт. 

-- 
Всего хорошего
		/vip

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт
  2008-09-27 18:45       ` Vyatcheslav Perevalov
@ 2008-09-27 19:00         ` Michael Shigorin
  2008-09-28  6:15         ` Dmitriy M. Maslennikov
  1 sibling, 0 replies; 14+ messages in thread
From: Michael Shigorin @ 2008-09-27 19:00 UTC (permalink / raw)
  To: community

On Sun, Sep 28, 2008 at 01:45:52AM +0700, Vyatcheslav Perevalov wrote:
> > ftpd с разрешённым активным режимом за DNAT?
> упс.. не ftpd, а ftp-client (любой). Построено на базе -m state 
> NEW,ESTABLISHED,RELATED. И не за DNAT, а за MASQUERADE

Это частный случай SNAT, а не DNAT :)

Речь о том, чтобы _сервер_ высунуть, а не клиента протащить.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт
  2008-09-27 18:45       ` Vyatcheslav Perevalov
  2008-09-27 19:00         ` Michael Shigorin
@ 2008-09-28  6:15         ` Dmitriy M. Maslennikov
  1 sibling, 0 replies; 14+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-09-28  6:15 UTC (permalink / raw)
  To: ALT Linux Community general discussions

27 сентября 2008 г. 22:45 пользователь Vyatcheslav Perevalov
<vip0@seversk.ru> написал:
>> (NB: браузеры по умолчанию или вообще используют _пассивный_)
>
> Не факт.
Факт. При активном сервер подключается к клиенту, для этого требуется,
чтобы клиент имел "белый" ip адрес, файервол пускал к нему, что в
общем случае не верно. Поэтому во избежание лишних проблем все
браузеры используют пассивный режим. Почему-то все, виденные мной,
клиенты-небраузеры по умолчанию использовали, наоборот, активный, но
все позволяли перейти и в пассивный режим.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
  2008-09-27  5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
                   ` (3 preceding siblings ...)
  2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
@ 2008-10-01 12:00 ` Olvin
  2008-10-01 12:09   ` Kulik Dmitriy
  4 siblings, 1 reply; 14+ messages in thread
From: Olvin @ 2008-10-01 12:00 UTC (permalink / raw)
  To: Vitalik Salomatin, ALT Linux Community general discussions

Vitalik Salomatin пишет:
> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. 
> командами 
> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p 
> tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112
> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j 
> MASQUERADE
> пробрасываю через него 21 порт на 122 машину внутри сети для 
> связи с FTP
> соединяется, принимает пароль, а потом пишет:
> Чтение каталога FTP 
> и виснет 
> 22 порт и 80 пробрасываются удачно.
> Что я еще не сделал?

$CLIENTIP - клиент, который хочет достучаться до внешнего FTP-сервера
$NATSRVIP1 - адрес шлюза, который смотрит в нашу сеть
$NATSRVIP2 - адрес шлюза, который смотрит во внешнюю сеть
$DSTSRVIP - адрес внешнего FTP-сервера

Доступ к удалённому серверу из нашей сети:

$ lftp $NATSRVIP1

Для этого делаем:

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -t nat -A PREROUTING -s $CLIENTIP -d $NATSRVIP1 -p tcp --dport 
21 -j DNAT --to-destination $DSTSRVIP
iptables -t nat -A PREROUTING -s $DSTSRVIP -d $NATSRVIP2 -p tcp --sport 
21 -j DNAT --to-destination $CLIENTIP
iptables -t nat -A POSTROUTING -s $CLIENTIP -d $DSTSRVIP -p tcp --dport 
21 -j SNAT --to-source $NATSRVIP2
iptables -t nat -A POSTROUTING -s $DSTSRVIP -d $CLIENTIP -p tcp --sport 
21 -j SNAT --to-source $NATSRVIP1

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED -j ACCEPT

iptables -A FORWARD -s $CLIENTIP -d $DSTSRVIP -p tcp --dport 21 -j ACCEPT

Работает.


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
  2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
@ 2008-10-01 12:09   ` Kulik Dmitriy
  2008-10-01 19:48     ` Olvin
  0 siblings, 1 reply; 14+ messages in thread
From: Kulik Dmitriy @ 2008-10-01 12:09 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Vitalik Salomatin пишет:
>> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. командами 
>> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p tcp 
>> --destination-port 21 -j DNAT --to-destination 10.0.0.112
>> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j MASQUERADE
>> пробрасываю через него 21 порт на 122 машину внутри сети для связи с FTP
>> соединяется, принимает пароль, а потом пишет:
>> Чтение каталога FTP и виснет 22 порт и 80 пробрасываются удачно.
>> Что я еще не сделал?
>
А разве FTP в пасивном режиме, для передачи данных, использует 21 порт?

^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
  2008-10-01 12:09   ` Kulik Dmitriy
@ 2008-10-01 19:48     ` Olvin
  2008-10-01 19:59       ` Kulik Dmitriy
  0 siblings, 1 reply; 14+ messages in thread
From: Olvin @ 2008-10-01 19:48 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Kulik Dmitriy пишет:
> Vitalik Salomatin пишет:
>>> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. командами 
>>> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p tcp 
>>> --destination-port 21 -j DNAT --to-destination 10.0.0.112
>>> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j MASQUERADE
>>> пробрасываю через него 21 порт на 122 машину внутри сети для связи с FTP
>>> соединяется, принимает пароль, а потом пишет:
>>> Чтение каталога FTP и виснет 22 порт и 80 пробрасываются удачно.
>>> Что я еще не сделал?
> А разве FTP в пасивном режиме, для передачи данных, использует 21 порт?

Достаточно прямым указанием разрешить и пробросить 21-й порт, а 
остальное сделает Connection Tracking.


^ permalink raw reply	[flat|nested] 14+ messages in thread

* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
  2008-10-01 19:48     ` Olvin
@ 2008-10-01 19:59       ` Kulik Dmitriy
  0 siblings, 0 replies; 14+ messages in thread
From: Kulik Dmitriy @ 2008-10-01 19:59 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Olvin пишет:
> Kulik Dmitriy пишет:
>> Vitalik Salomatin пишет:
>>>> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. командами 
>>>> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p tcp 
>>>> --destination-port 21 -j DNAT --to-destination 10.0.0.112
>>>> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j MASQUERADE
>>>> пробрасываю через него 21 порт на 122 машину внутри сети для связи 
>>>> с FTP
>>>> соединяется, принимает пароль, а потом пишет:
>>>> Чтение каталога FTP и виснет 22 порт и 80 пробрасываются удачно.
>>>> Что я еще не сделал?
>> А разве FTP в пасивном режиме, для передачи данных, использует 21 порт?
>
> Достаточно прямым указанием разрешить и пробросить 21-й порт, а 
> остальное сделает Connection Tracking.
Вот список какраз и неможет получить клиент....


^ permalink raw reply	[flat|nested] 14+ messages in thread

end of thread, other threads:[~2008-10-01 19:59 UTC | newest]

Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-09-27  5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
2008-09-27  5:12 ` Yury Konovalov
2008-09-27  5:28 ` Starodumoff Ilya
2008-09-27  5:29 ` Dmitriy M. Maslennikov
2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
2008-09-27 18:32   ` Vyatcheslav Perevalov
2008-09-27 18:35     ` Michael Shigorin
2008-09-27 18:45       ` Vyatcheslav Perevalov
2008-09-27 19:00         ` Michael Shigorin
2008-09-28  6:15         ` Dmitriy M. Maslennikov
2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
2008-10-01 12:09   ` Kulik Dmitriy
2008-10-01 19:48     ` Olvin
2008-10-01 19:59       ` Kulik Dmitriy

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git