Не работает NAT для FTP в IPTABLES :(

0

0

nat делается след образом:

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

, где IPTABLES="/sbin/iptables", INET_IFACE="имя интерфейса", INET_IP="соотв. ip"

подгружаются несколько модулей в том числе:

ip_conntrack iptable_nat ip_conntrack_ftp ip_nat_ftp

Открыты порты для http, pop3, smtp, dns, https, и для ftp (20 и 21). Наружу по этим портам пускается все что угодно. Обратно - только пакеты с состоянием ESTABLISHED, RELATED. Oстальное DROP.

Все работает кроме FTP (ни пассивный, ни активный не работают). То что активный не работает понятно, но вот почему пассивный ?! Когда открываешь непривелиг. порты - все OK. Можно ли как-нибудь обойтись без открытия всех портов? Да и, вообще, как народ делает?

Ссылка

←	Апач не создаёт вирт. хосты

настройка IPTABLE

→

Вообще то порты выше 1024 закрывать не рекомендуется.

Matrix ★
(19.08.03 15:22:01 MSD)

Ссылка

Та же проблема, но только в ipchains Пока нормального решения не нашёл. Работает только если делать маскарад для конкретных машин, кому нужен доступ по ftp, что-то типа:

ipchains -A forward -j MASQ -b -s 192.168.0.0/255.255.0.0 -p tcp -d 0.0.0.0/0 21
ipchains -A forward -j MASQ -b -s 192.168.0.0/255.255.0.0 -p tcp -d 0.0.0.0/0 20
ipchains -A forward -j MASQ -b -s 192.168.1.2/255.255.255.255 -d 0.0.0.0/0

где последняя цепь - маскарад машины клиента. Но это, по-моему ненормально. Буду признателен, если кто-нибудь подскажет более корректное решение.

josephson ★★
(19.08.03 15:52:12 MSD)