* [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
@ 2008-09-27 5:07 Vitalik Salomatin
2008-09-27 5:12 ` Yury Konovalov
` (4 more replies)
0 siblings, 5 replies; 14+ messages in thread
From: Vitalik Salomatin @ 2008-09-27 5:07 UTC (permalink / raw)
To: community
ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть.
командами
#iptables -t nat -A PREROUTING -d 11.11.11.61 -p
tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112
#iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j
MASQUERADE
пробрасываю через него 21 порт на 122 машину внутри сети для
связи с FTP
соединяется, принимает пароль, а потом пишет:
Чтение каталога FTP
и виснет
22 порт и 80 пробрасываются удачно.
Что я еще не сделал?
Спасибо.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
2008-09-27 5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
@ 2008-09-27 5:12 ` Yury Konovalov
2008-09-27 5:28 ` Starodumoff Ilya
` (3 subsequent siblings)
4 siblings, 0 replies; 14+ messages in thread
From: Yury Konovalov @ 2008-09-27 5:12 UTC (permalink / raw)
To: Vitalik Salomatin, ALT Linux Community general discussions
27 сентября 2008 г. 8:07 пользователь Vitalik Salomatin
<chelroot74@mail.ru> написал:
> командами
>
> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p
> tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112
>
> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j
> MASQUERADE
> Что я еще не сделал?
Наверное еще пробросить и 20-й порт
--
Best Regards, Yury Konovalov aka Speccyfan (2:453/53)
Registered Linux User #379588
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
2008-09-27 5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
2008-09-27 5:12 ` Yury Konovalov
@ 2008-09-27 5:28 ` Starodumoff Ilya
2008-09-27 5:29 ` Dmitriy M. Maslennikov
` (2 subsequent siblings)
4 siblings, 0 replies; 14+ messages in thread
From: Starodumoff Ilya @ 2008-09-27 5:28 UTC (permalink / raw)
To: community
В сообщении от 27 сентября 2008 Vitalik Salomatin написал(a):
> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть.
>
> командами
>
> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p
> tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112
>
> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j
> MASQUERADE
>
> пробрасываю через него 21 порт на 122 машину внутри сети для
> связи с FTP
>
> соединяется, принимает пароль, а потом пишет:
> Чтение каталога FTP
> и виснет
>
> 22 порт и 80 пробрасываются удачно.
>
> Что я еще не сделал?
>
> Спасибо.
modprobe ip_nat_ftp
или ограниченный диапазон портов для пассивного режима на фтп сервере и
соответствующий dnat на шлюзе
--
С уважением,
Стародумов Илья
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
2008-09-27 5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
2008-09-27 5:12 ` Yury Konovalov
2008-09-27 5:28 ` Starodumoff Ilya
@ 2008-09-27 5:29 ` Dmitriy M. Maslennikov
2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
4 siblings, 0 replies; 14+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-09-27 5:29 UTC (permalink / raw)
To: Vitalik Salomatin, ALT Linux Community general discussions
27.09.08, Vitalik Salomatin<chelroot74@mail.ru> написал(а):
> соединяется, принимает пароль, а потом пишет:
> Чтение каталога FTP
> и виснет
Насколько я помню ftp для передачи ответа устанавливает дополнительное
соединение либо от сервера к клиенту (активный режим), либо от клиента
к серверу (пассивный режим). Так что проброса одного порта для ftp не
достаточно.
--
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт
2008-09-27 5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
` (2 preceding siblings ...)
2008-09-27 5:29 ` Dmitriy M. Maslennikov
@ 2008-09-27 18:27 ` Michael Shigorin
2008-09-27 18:32 ` Vyatcheslav Perevalov
2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
4 siblings, 1 reply; 14+ messages in thread
From: Michael Shigorin @ 2008-09-27 18:27 UTC (permalink / raw)
To: community
On Sat, Sep 27, 2008 at 09:07:56AM +0400, Vitalik Salomatin wrote:
> Что я еще не сделал?
Если уже сказанного недостаточно -- ответьте с копией
мне, посмотрю, как в итоге сделал. ip_nat_ftp обязателен.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт
2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
@ 2008-09-27 18:32 ` Vyatcheslav Perevalov
2008-09-27 18:35 ` Michael Shigorin
0 siblings, 1 reply; 14+ messages in thread
From: Vyatcheslav Perevalov @ 2008-09-27 18:32 UTC (permalink / raw)
To: community
В сообщении от 28 сентября 2008 Michael Shigorin написал(a):
> ip_nat_ftp обязателен.
Миш, я может быть чего-то недопонимаю, но у меня работает _без_
ip_nat_ftp... Что я делаю не так?
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт
2008-09-27 18:32 ` Vyatcheslav Perevalov
@ 2008-09-27 18:35 ` Michael Shigorin
2008-09-27 18:45 ` Vyatcheslav Perevalov
0 siblings, 1 reply; 14+ messages in thread
From: Michael Shigorin @ 2008-09-27 18:35 UTC (permalink / raw)
To: community
On Sun, Sep 28, 2008 at 01:32:49AM +0700, Vyatcheslav Perevalov wrote:
> > ip_nat_ftp обязателен.
> Миш, я может быть чего-то недопонимаю, но у меня работает _без_
> ip_nat_ftp... Что я делаю не так?
ftpd с разрешённым активным режимом за DNAT?
(NB: браузеры по умолчанию или вообще используют _пассивный_)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт
2008-09-27 18:35 ` Michael Shigorin
@ 2008-09-27 18:45 ` Vyatcheslav Perevalov
2008-09-27 19:00 ` Michael Shigorin
2008-09-28 6:15 ` Dmitriy M. Maslennikov
0 siblings, 2 replies; 14+ messages in thread
From: Vyatcheslav Perevalov @ 2008-09-27 18:45 UTC (permalink / raw)
To: community
В сообщении от 28 сентября 2008 Michael Shigorin написал(a):
> ftpd с разрешённым активным режимом за DNAT?
>
упс.. не ftpd, а ftp-client (любой). Построено на базе -m state
NEW,ESTABLISHED,RELATED. И не за DNAT, а за MASQUERADE
> (NB: браузеры по умолчанию или вообще используют _пассивный_)
Не факт.
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт
2008-09-27 18:45 ` Vyatcheslav Perevalov
@ 2008-09-27 19:00 ` Michael Shigorin
2008-09-28 6:15 ` Dmitriy M. Maslennikov
1 sibling, 0 replies; 14+ messages in thread
From: Michael Shigorin @ 2008-09-27 19:00 UTC (permalink / raw)
To: community
On Sun, Sep 28, 2008 at 01:45:52AM +0700, Vyatcheslav Perevalov wrote:
> > ftpd с разрешённым активным режимом за DNAT?
> упс.. не ftpd, а ftp-client (любой). Построено на базе -m state
> NEW,ESTABLISHED,RELATED. И не за DNAT, а за MASQUERADE
Это частный случай SNAT, а не DNAT :)
Речь о том, чтобы _сервер_ высунуть, а не клиента протащить.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт
2008-09-27 18:45 ` Vyatcheslav Perevalov
2008-09-27 19:00 ` Michael Shigorin
@ 2008-09-28 6:15 ` Dmitriy M. Maslennikov
1 sibling, 0 replies; 14+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-09-28 6:15 UTC (permalink / raw)
To: ALT Linux Community general discussions
27 сентября 2008 г. 22:45 пользователь Vyatcheslav Perevalov
<vip0@seversk.ru> написал:
>> (NB: браузеры по умолчанию или вообще используют _пассивный_)
>
> Не факт.
Факт. При активном сервер подключается к клиенту, для этого требуется,
чтобы клиент имел "белый" ip адрес, файервол пускал к нему, что в
общем случае не верно. Поэтому во избежание лишних проблем все
браузеры используют пассивный режим. Почему-то все, виденные мной,
клиенты-небраузеры по умолчанию использовали, наоборот, активный, но
все позволяли перейти и в пассивный режим.
--
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
2008-09-27 5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
` (3 preceding siblings ...)
2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
@ 2008-10-01 12:00 ` Olvin
2008-10-01 12:09 ` Kulik Dmitriy
4 siblings, 1 reply; 14+ messages in thread
From: Olvin @ 2008-10-01 12:00 UTC (permalink / raw)
To: Vitalik Salomatin, ALT Linux Community general discussions
Vitalik Salomatin пишет:
> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть.
> командами
> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p
> tcp --destination-port 21 -j DNAT --to-destination 10.0.0.112
> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j
> MASQUERADE
> пробрасываю через него 21 порт на 122 машину внутри сети для
> связи с FTP
> соединяется, принимает пароль, а потом пишет:
> Чтение каталога FTP
> и виснет
> 22 порт и 80 пробрасываются удачно.
> Что я еще не сделал?
$CLIENTIP - клиент, который хочет достучаться до внешнего FTP-сервера
$NATSRVIP1 - адрес шлюза, который смотрит в нашу сеть
$NATSRVIP2 - адрес шлюза, который смотрит во внешнюю сеть
$DSTSRVIP - адрес внешнего FTP-сервера
Доступ к удалённому серверу из нашей сети:
$ lftp $NATSRVIP1
Для этого делаем:
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t nat -A PREROUTING -s $CLIENTIP -d $NATSRVIP1 -p tcp --dport
21 -j DNAT --to-destination $DSTSRVIP
iptables -t nat -A PREROUTING -s $DSTSRVIP -d $NATSRVIP2 -p tcp --sport
21 -j DNAT --to-destination $CLIENTIP
iptables -t nat -A POSTROUTING -s $CLIENTIP -d $DSTSRVIP -p tcp --dport
21 -j SNAT --to-source $NATSRVIP2
iptables -t nat -A POSTROUTING -s $DSTSRVIP -d $CLIENTIP -p tcp --sport
21 -j SNAT --to-source $NATSRVIP1
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED -j ACCEPT
iptables -A FORWARD -s $CLIENTIP -d $DSTSRVIP -p tcp --dport 21 -j ACCEPT
Работает.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
@ 2008-10-01 12:09 ` Kulik Dmitriy
2008-10-01 19:48 ` Olvin
0 siblings, 1 reply; 14+ messages in thread
From: Kulik Dmitriy @ 2008-10-01 12:09 UTC (permalink / raw)
To: ALT Linux Community general discussions
Vitalik Salomatin пишет:
>> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. командами
>> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p tcp
>> --destination-port 21 -j DNAT --to-destination 10.0.0.112
>> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j MASQUERADE
>> пробрасываю через него 21 порт на 122 машину внутри сети для связи с FTP
>> соединяется, принимает пароль, а потом пишет:
>> Чтение каталога FTP и виснет 22 порт и 80 пробрасываются удачно.
>> Что я еще не сделал?
>
А разве FTP в пасивном режиме, для передачи данных, использует 21 порт?
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
2008-10-01 12:09 ` Kulik Dmitriy
@ 2008-10-01 19:48 ` Olvin
2008-10-01 19:59 ` Kulik Dmitriy
0 siblings, 1 reply; 14+ messages in thread
From: Olvin @ 2008-10-01 19:48 UTC (permalink / raw)
To: ALT Linux Community general discussions
Kulik Dmitriy пишет:
> Vitalik Salomatin пишет:
>>> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. командами
>>> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p tcp
>>> --destination-port 21 -j DNAT --to-destination 10.0.0.112
>>> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j MASQUERADE
>>> пробрасываю через него 21 порт на 122 машину внутри сети для связи с FTP
>>> соединяется, принимает пароль, а потом пишет:
>>> Чтение каталога FTP и виснет 22 порт и 80 пробрасываются удачно.
>>> Что я еще не сделал?
> А разве FTP в пасивном режиме, для передачи данных, использует 21 порт?
Достаточно прямым указанием разрешить и пробросить 21-й порт, а
остальное сделает Connection Tracking.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают.
2008-10-01 19:48 ` Olvin
@ 2008-10-01 19:59 ` Kulik Dmitriy
0 siblings, 0 replies; 14+ messages in thread
From: Kulik Dmitriy @ 2008-10-01 19:59 UTC (permalink / raw)
To: ALT Linux Community general discussions
Olvin пишет:
> Kulik Dmitriy пишет:
>> Vitalik Salomatin пишет:
>>>> ALT 4.0 сервер смотрит наружу и имеет внутреннюю сеть. командами
>>>> #iptables -t nat -A PREROUTING -d 11.11.11.61 -p tcp
>>>> --destination-port 21 -j DNAT --to-destination 10.0.0.112
>>>> #iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.122 -j MASQUERADE
>>>> пробрасываю через него 21 порт на 122 машину внутри сети для связи
>>>> с FTP
>>>> соединяется, принимает пароль, а потом пишет:
>>>> Чтение каталога FTP и виснет 22 порт и 80 пробрасываются удачно.
>>>> Что я еще не сделал?
>> А разве FTP в пасивном режиме, для передачи данных, использует 21 порт?
>
> Достаточно прямым указанием разрешить и пробросить 21-й порт, а
> остальное сделает Connection Tracking.
Вот список какраз и неможет получить клиент....
^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2008-10-01 19:59 UTC | newest]
Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-09-27 5:07 [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Vitalik Salomatin
2008-09-27 5:12 ` Yury Konovalov
2008-09-27 5:28 ` Starodumoff Ilya
2008-09-27 5:29 ` Dmitriy M. Maslennikov
2008-09-27 18:27 ` [Comm] FTP не работает через проброшенный порт Michael Shigorin
2008-09-27 18:32 ` Vyatcheslav Perevalov
2008-09-27 18:35 ` Michael Shigorin
2008-09-27 18:45 ` Vyatcheslav Perevalov
2008-09-27 19:00 ` Michael Shigorin
2008-09-28 6:15 ` Dmitriy M. Maslennikov
2008-10-01 12:00 ` [Comm] FTP не работает через проброшенный порт. SSH и HTTP работают Olvin
2008-10-01 12:09 ` Kulik Dmitriy
2008-10-01 19:48 ` Olvin
2008-10-01 19:59 ` Kulik Dmitriy
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git