| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
vns955
Зарегистрирован: 03.11.2005
Сообщения: 72
|
 Добавлено: Пт Мар 03 2006 15:58 Заголовок сообщения: Как открыть доступ на внешний FTP в iptables |
 |
|
Всем здрасте.
Подскажите плз как с локальной машины открыть доступ на внешние FTP сервера.
Установлены следующие правила.
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_nat_irc
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT |
|
| Вернуться к началу |
|
 |
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Пт Мар 03 2006 16:16 Заголовок сообщения: |
|
|
Эти правила должны быть в цепочке FORWARD. INPUT и OUTPUT относятся только к самому шлюзу. Т.е. ты разрешил
доступ к ftp на шлюзе и доступ к другим ftp с шлюза. Для транзитных соединений действует политика по умолчанию (я не знаю, что там у тебя настроено). |
|
| Вернуться к началу |
|
|
vns955
Зарегистрирован: 03.11.2005
Сообщения: 72
|
| Добавлено: Пт Мар 03 2006 16:26 Заголовок сообщения: |
|
|
| Дык речь идет о самом шлюзе |
|
| Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Пт Мар 03 2006 16:34 Заголовок сообщения: |
|
|
Пардон, плохо читал вопрос. На локальной машине NAT вообще не нужен. В принципе, достаточно иметь возможность создать исходящее (OUTPUT) соединение к 21 порту удаленной машины. Т.е. твое iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT нужно только если раньше у тебя это было запрещено. А за остальное отвечает шлюз. Если там перекрыто, то надо идти с пивом к админу  |
|
| Вернуться к началу |
|
|
vns955
Зарегистрирован: 03.11.2005
Сообщения: 72
|
| Добавлено: Пт Мар 03 2006 17:59 Заголовок сообщения: |
|
|
| Это и есть шлюз и я админ и мне надо достучаться с этого на внешн. ФТП |
|
| Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Пт Мар 03 2006 20:22 Заголовок сообщения: |
|
|
Ты же не единственный шлюз. Над тобой явно есть еще.
Опять же, обрисуй ситуацию: что показывают ifconfig, route, iptable -L.
В случае свежей установки просто не может быть проблем с выходом на ftp. |
|
| Вернуться к началу |
|
|
vns955
Зарегистрирован: 03.11.2005
Сообщения: 72
|
| Добавлено: Сб Мар 04 2006 22:48 Заголовок сообщения: |
|
|
Дело в том, что я выхожу в инет по диал-апу и никакого шлюза надо мной нет - вернее он есть но провайдер врядли будет перекрывать протокол ФТП, - это проверено: когда я отключаю фаер, то я выхожу на ФТП, например на
ftp://citforum.ru
Значит дело только в файере! |
|
| Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Пн Мар 06 2006 16:13 Заголовок сообщения: |
|
|
Ну, так и отключи его совсем. Как - зависит от дистрибутива.
Если страшно, оставь запрет на входящие соединения, что-нибудь вроде
| Код: | | iptables -t filter -A INPUT -j DROP |
А для ftp будешь использовать пассивный режим. |
|
| Вернуться к началу |
|
|
pegas
Зарегистрирован: 17.03.2005
Сообщения: 231
|
| Добавлено: Пт Мар 10 2006 17:20 Заголовок сообщения: |
|
|
Попробуй
iptables -A FORWARD -p tcp -m tcp --dport 20:21 -j ACCEPT |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Ср Мар 15 2006 10:34 Заголовок сообщения: |
|
|
$IPTABLES -A INPUT -j ACCEPT -p tcp -d $INET_IFACE --dport ftp --syn
$IPTABLES -A INPUT -j ACCEPT -p tcp --sport ftp-data -d $INET_IFACE --syn
$IPTABLES -A INPUT -j ACCEPT -p tcp -d $INET_IFACE --dport 1024:65535 --syn
_________________
Я странный... |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
