iptables пассивные порты

0

2

Доброго времени суток всем! Есть одна маленькая проблема. У меня на гипервизоре Debian стоит 2 фтп виртуальных сервера. один принимает по порту 2323 другой по 2121. Когда захожу через клиента FileZilla на первый заходит, на второй выходит ошибка

Сервер отправил пассивный ответ с неопределяемым адресом. Использую существующий адрес сервера.
Команда:	MLSD
Ошибка:	Соединение передачи данных не может быть установлено: ECONNREFUSED - Соединение отклонено сервером

в гипервизоре в iptables указал так:

#ftp 2121
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 2121 -j DNAT --to-destination 192.168.0.12:21
-A POSTROUTING -d 192.168.0.12/32 -p tcp -m tcp --dport 2121 -j SNAT --to-source xxx.xxx.xxx.xxx
#ftp 2323
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 2323 -j DNAT --to-destination 192.168.0.11:23
-A POSTROUTING -d 192.168.0.11/32 -p tcp -m tcp --dport 2323 -j SNAT --to-source xxx.xxx.xxx.xxx

-A PREROUTING -p tcp -m tcp -d xxx.xxx.xxx.xxx/32 --dport 49152:65534 -j ACCEPT

Я думаю что последняя строчка в IPTABLES не правильно. как сделать так чтобы пассивные отправлялись

Ссылка

←	Zabbix trigger

DRBD на ZFS vs CEPH

→

Тебе по идее нужно подгрузить nf_conntrack_ftp и nf_nat_ftp. Система тогда сама разберется с пробросом нужных портов. Только не уверен, будет ли оно работать с нестандартными портами ftp. Еще должны быть разрешены входящие RELATED-соединения на шлюзе.

Можно еще разделить диапазон портов между двумя серверами и прописать перенаправление трафика для каждого диапазона.

Radjah ★★★★★
(05.09.16 10:32:22 MSK)
Последнее исправление: Radjah 05.09.16 10:33:30 MSK (всего исправлений: 1)

Ссылка

Какие пассивные диапазоны у каждого фтп? Они оба попадают в указанный в последнем правиле промежуток 49152:65534?

Dimarius ★
(05.09.16 10:51:00 MSK)

Сделай так ftp 2323 -A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 2323 -j DNAT --to-destination 192.168.0.11:21 -A POSTROUTING -d 192.168.0.11/32 -p tcp -m tcp --dport 2323 -j SNAT --to-source xxx.xxx.xxx.xxx

Ты изменял пороты по умолчантю для сервиса FTP ? порт по умолчанию 20, 21 TCP

rootmaster ★
(05.09.16 13:08:53 MSK)

Ссылка

А у вас на 192.168.0.11 ftp точно на 23 порту висит? Локально проверяли?

-A PREROUTING -p tcp -m tcp -d xxx.xxx.xxx.xxx/32 --dport 49152:65534 -j ACCEPT

Вообще не понял откуда вы цифру 49152 взяли? И собственно зачем это правило?

anc ★★★★★
(05.09.16 16:54:38 MSK)

Ответ на: комментарий от anc 05.09.16 16:54:38 MSK

Для пассивного режима фтп это правило нужно, в активном режиме достаточно и одного порта. Похоже, что диапазон второго фтп не попадает в указанный в правиле.

Dimarius ★
(06.09.16 12:41:32 MSK)

Ответ на: комментарий от Dimarius 06.09.16 12:41:32 MSK

Все равно не понятно. Причем здесь PREROUTING и откуда взята цифра 49152. Еще одна странность на которую только что обратил внимание во всех правилах не указаны таблицы.

anc ★★★★★
(06.09.16 15:08:32 MSK)

Ответ на: комментарий от anc 06.09.16 15:08:32 MSK

Раз у него первый фтп работает в пассиве, значит правила в таблице nat и с этим проблем нет. Пассивный диапазон выбирается как хочешь, хочешь 1000-2000, хочешь 49152-ххххх, что пропишешь в конфиге фтп сервера, то и будет ;)

Dimarius ★
(07.09.16 09:02:19 MSK)

Ответ на: комментарий от Dimarius 07.09.16 09:02:19 MSK

Раз у него первый фтп работает в пассиве, значит правила в таблице nat

Ну если про это как раз можно догадаться, то последнее правило для меня все еще загадка. :)

anc ★★★★★
(07.09.16 16:51:05 MSK)

Ссылка

Ответ на: комментарий от Dimarius 05.09.16 10:51:00 MSK

нет, на одном сервере стоит u-serv, у него пассивный порт автоматически назначается 49152-49201. А в другом сервере proftp Я туда назначил пассивные порты от 49152-65534 ручками

millionaire_kg
(08.09.16 06:52:49 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 06.09.16 15:08:32 MSK

в NAT работаю

millionaire_kg
(08.09.16 06:54:09 MSK) автор топика

Ссылка

Решено, пассивные порты разделил на 2 с 49152-49201 в один фтп сервер пробросил, 49300-65534 на второй пробросил. спасибо всем за помощь и подсказку

millionaire_kg
(08.09.16 07:08:49 MSK) автор топика

Ответ на: комментарий от millionaire_kg 08.09.16 07:08:49 MSK

Вообще они и так должны были как related отрабатывать без всякого проброса. См. первый пост iptables пассивные порты (комментарий)
правда я тут же согласен с Radjah, в части что не уверен как оно с нестандартным портом ftp отрабатывает (код nf_nat_ftp не смотрел). Кстати а зачем вы второй ftp на 23-й порт повесили?

anc ★★★★★
(08.09.16 16:05:38 MSK)