LINUX.ORG.RU
ФорумAdmin

Маскардинг+ftp+ядро 2.4+ipchains


0

0

Можно ли настроить сабж? В ядре 2.2 для этого использовалось ip_masq_ftp. Но в ядре 2.4 этого модуля нет. Есть ip_nat_ftp и т.д Вроде бы это используется для iptables. Как быть? Можно ли в ядре 2.4 маскардить активный и пассивный режимы в ipchains?

anonymous

т.е. нужно использовать iptables? а ipchains никак?

anonymous
()

А в чем проблема с использованием iptables? Насчет ipchains - не знаю. Наверное - нет, но голову на отсечение не дам :))

SadStork
()

Проблема в том, что уже есть настройка под ipchains, а под iptables придется немного переделать. Кроме того ipchains уже работал и к нему нареканий нет, а iptables не использовали. Хотелось бы оставить то, что работает уже точно :)

anonymous
()

Все, решение найдено. Спасибо тем, кто пытался помочь. А это выдержка для тех, кто еще столкнется с этой проблемой:

Ядра Linux имеют способность отфильтровывать пакеты еще с 1.1 серий. Первое поколение фильтров, основанное на ipfw от BSD, было спортированно Alan Cox в конце 1994г. Оно было улучшено Jos Vos и другими в Linux 2.0; пользовательская утилита "ipfwadm" контролировала правила фильтра в ядре. В середине 1998, для Linux 2.2, я с помощью Michael Neuling, переработал ядро достаточно основательно, и представил новую утилиту для управления фильтром - "ipchains". Наконец, в середине 1999, код ядра был снова полностью преписан для 2.4 версии, появилась утилита четвертого поколения "iptables".

А это ссылка откуда вырезка и где можно почитать на русском про iptables: http://linux.yaroslavl.ru/Howto/Packet-Filtering/packet-filtering-HOWTO.html

anonymous
()

И еще до кучи из этого же места :)

Во-первых, имена встроенных цепочек изменились с малых прописных букв на большие, потому как INPUT и OUTPUT цепочки сейчас получают только пакеты предназначенные для данной машины и локально сгенерированные пакеты. Раньше они получали весь входящий и исходящий траффик, соответственно. "-i" ключ теперь означает входящий интерфейс, и работает только в цепочках INPUT и FORWARD. Правила в FORWARD или OUTPUT цепочках, которые использовали "-i" ключ должны быть изменены для использования "-o" ключа. TCP и UDP порты необходимо указывать теперь с помощью --source-port или -sport (или --destination-port/--dport) ключей, и после ключей "-p tcp" или "-p udp", так как указание этиъх ключей загрузит соответствующие TCP и UDP расширения. TCP "-y" ключ теперь --syn, и должен указываться после "-p tcp". DENY-цель теперь DROP-цель. Теперь работает обнуление цепочки в процессе работы фильтра. Обнуление встроенных цепочек также очищает счетчики. Просмотр цепочек дает вам счетчики как единую картину на определенный момент времени. REJECT и LOG теперь являются расширенными целями, это означает что они идут как отдельные модули ядра. Имена цепочек могут теперь быть длинной до 31 символа. Цель-MASQ теперь цель-MASQUERADE и использует другой синтаксис. REDIRECT, хоть и сохранил свое название, также изменил свой синтаксис. Смотри NAT-HOWTO для получения большей информации как конфигурировать обе вышеупомянутых цели. "-o" ключ больше не используется для перенаправления пакетов в область пользовательских устройств (смотри "-i" выше). Пакеты посылаются туда с помощью QUEUE-цели. Вероятно есть еще целая куча вещей который я забыл упомянуть.

Последняя фраза меня больше всего порадовала :))) Ладно... бум грызть гранит iptables...

anonymous
()

А это уже странно:

В пакете netfilter есть специальные модули: ipchains.o и ipfwadm.o. Загрузите один из них в ваше ядро (ВНИМАНИЕ: они не совместимы с ip_tables.o). После этого вы сможете использовать ipchains или ipfwadm как в старые добрые дни.

Для ipchains, конец поддержки (поправтье меня: используйте настоящие даты):

2 * [Август 1999 (2.3.15 релиз) - Октябрь 1997 (2.2.0 релиз)] + Июль 2000 (2.4.0 релиз?) = Март 2004.

Вообщем, вам не о чем беспокоиться до Марта 2004 года.

Бум пробовать маскардить все режимы ftp в ipchains на ядре 2.4.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.