ooptimum
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vii Цитата: Совершенно верно. Там настроено перекидывать внешние запросы по портам 2020 и 2021 на 192.168.1.3... Я соединяюсь с внешним IP раутера, а он видит, что порт 2021 и перекидывает во внутреннюю сеть на фтп-сервер. | Это значит, что для соединения с этим сервером в: А) активном режиме, если клиент не имеет "белого" адреса и находится внутри сети за шлюзом, необходимо научить NAT на этом шлюзе, что командные соединения с FTP происходят не только на порт 21, но и на 2021, чтобы NAT атоматически пробрасывал порты, открываемые на клиентской машине в течение сеанса по команде PORT или EPRT, на данную клиентскую машину. А именно тебе надо научить ip_nat_ftp, коль скоро у тебя iptables, -- у этого модуля есть параметр ports, в котором можно перечислить до 8 портов, на которых необходимо осуществлять мониторинг командного канала ftp. По умолчанию этот модель отслеживает только соединения на порт 21. Проблема: это необходимо проделать всем клиентам (1 раз на каждый шлюз), планирующим соединения с данным сервером в активном режиме. Б) пассивном режиме необходимо научить NAT на шлюзе, отделяющем FTP-сервер от глобальной сети, анализировать командный канал FTP на порту 2021 (отслеживать ответы на команды PASV и EPSV), чтобы автоматически пробрасывать порты, открываемые на данном FTP-сервере в течение сессии с клиентом, на данный FTP-сервер. Если NAT на шлюзе не умеет следить за командным каналом FTP, то можно настроить статический проброс определенного диапазона портов на данный FTP-сервер. vsftpd имеет параметры pasv_min_port и pasv_max_port для настройки диапазона портов, открываемых в пассивном режиме, а также pasv_address для настройки адреса, передаваемого при включении пассивного режима. Например: Код: pasv_min_port=50000 pasv_max_port=60000 pasv_address=внешний адрес шлюза | | Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:48 20-07-2005 | Исправлено: ooptimum, 22:57 20-07-2005 |
|