From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <greg@anastasia.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.8 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.3
Date: Fri, 16 May 2008 21:22:59 +0400
From: Grigory Fateyev <greg@anastasia.ru>
To: sysadmins@lists.altlinux.org
Message-ID: <20080516212259.5323e54b@greg.dobroe.net>
In-Reply-To: <200805162207.28457.ripper.mail@gmail.com>
References: <20080516191510.34081638@greg.dobroe.net>
	<200805162141.22714.ripper.mail@gmail.com>
	<20080516195407.45a0aae6@greg.dobroe.net>
	<200805162207.28457.ripper.mail@gmail.com>
Organization: Anastasia.ru
X-Mailer: Claws Mail 2.10.0cvs81 (GTK+ 2.10.6; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] iptables rules DNAT ftp passive
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 16 May 2008 17:23:01 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20080516212259.5323e54b@greg.dobroe.net/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Hello Starodumoff Ilya!
On Fri, 16 May 2008 22:07:28 +0600 you wrote:

> В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > Hello Starodumoff Ilya!
> >
> > On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > > А в FORWARD ничего не надо?
> > >
> > > конечно надо, если там полиси не accept стоит... :)
> >
> > Не покажите свои? :) На примерах проще разобраться...
> 
> ну например так:
> 
> iptables -P FORWARD DROP
> iptables -A FORWARD -m state --state INVALID -j DROP
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21
> -j ACCEPT iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp
> --dport \ 65000:65535 -j ACCEPT
> 
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
> -j DNAT --to-destination $VE_IP
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
> -j DNAT --to-destination $VE_IP
> 
> ну и соответствующим образом настроенный (диапазон портов для
> пассивного режима) ftp сервер в VE
> 
> соль, перец и остальное по вкусу :)
> 
Спасибо, но что-то не получается...

-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 21:22