Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Пассивный FTP проброс портов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вроде простая задача пробросить FTP на внутреннюю машину, а пассивный ftp не работает.
Дого читал про netfilter_conntrack но так и не понял имеет он возможность помимо отслеживания состостояния соединения и открытия соответствующих портов еще и поменять ip-адрес, который отдает внутренний сервер внешнему клиенту.
Соответствующих настроек на сервере нет и получается, что для передачи данных клиент пытается коннектится не на внешний, а уже на внутренний адрес.

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 00:59 10-10-2013
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://easyfwgen.morizot.net/gen/
После интерактивного заполнения полей, в начале обязательно  укажите, что у вас Gateway/Firewall  и отметь птицу Allow Inbound Services, жмакните кнопу Generate  Firewall, добавятся поля, отметьте нужные. Для FTP отметье  
 FTP Server Allow Passive FTP Connections
Снова жмакните кнопу Generate  Firewall,  покажет диапазон портов для пассивного режима, оставьте как есть или назначьте свои порты, которые указали  в FTP сервере. Ну и так далее.
В конце получите готовый текстовый файл правил фаервола. Ознакомьтесь, думаю придет понимание, что не понимаете - читайте  в мануале по айпитаблесу.  
Руководство по iptables (Iptables Tutorial 1.1.19) на русском языке
http://www.opennet.ru/docs/RUS/iptables/

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 10749 | Зарегистр. 10-12-2003 | Отправлено: 11:01 10-10-2013 | Исправлено: ipmanyak, 11:02 10-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
http://easyfwgen.morizot.net/gen/  

Нет возможности указать внутренний сервер для ftp

Цитата:
Руководство по iptables

Если я написал, что уже читал руководство по netfilter, то соответственно в iptables ничего не нашел.
 
Какой вопрос конкретно меня интересовал, я написал выше. Если он не понятен могу еще раз написать: может-ли данный модуль менять данные на 7 уровне OSI, т.е. адрес который передается по каналу управления FTP для установления соединения в пассивном режиме. ASA, например, так может делать. Открыть порт и перебросить их он может - это я знаю и так.

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 00:14 11-10-2013
golychev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
у меня работает просто:
без взяких доп. модулей, виндовый ФТП.
 
-A PREROUTING -d 5.5.5.5/32 -i eth1 -p tcp -m tcp --dport 50000:50007 -j DNAT --to-destination 10.21.0.2:50000-50007
 
-A PREROUTING -d 5.5.5.5/32 -i eth1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.21.0.2:21

Всего записей: 633 | Зарегистр. 09-02-2005 | Отправлено: 00:16 11-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev
Я так пробовал, но у меня еще требование поменять адрес источника, может он из-за этого не может отследить соединения...
Завтра проверю...
А модули можно посмотреть - они автоматом подгружаются:  
[root@localhost ~]# lsmod | grep conntr
xt_conntrack            6337  0  
nf_conntrack_ftp       10849  0  
nf_conntrack_ipv4      11717  2 iptable_nat
nf_conntrack           51849  8 xt_helper,xt_conntrack,xt_state,nf_conntrack_ftp,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nfnetlink               8281  3 nf_nat,nf_conntrack_ipv4,nf_conntrack
x_tables               14149  7 xt_helper,xt_conntrack,xt_state,xt_tcpudp,ipt_MASQUERADE,iptable_nat,ip_tables

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 00:28 11-10-2013
golychev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
на виндовом ФТП можно выставить внешний адрес...

Всего записей: 633 | Зарегистр. 09-02-2005 | Отправлено: 00:35 11-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev
Я уже писал что у меня нет возможности выставить внешний IP.

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 00:37 11-10-2013
golychev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
а почему? доступа к компу нет?

Всего записей: 633 | Зарегистр. 09-02-2005 | Отправлено: 00:55 11-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
golychev
Это не комп, а спец. оборудование, на которое регулярно загружаются обновления. Там из настроек только вкл/выкл FTP и порт - все...

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 00:59 11-10-2013
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
Цитата:
http://easyfwgen.morizot.net/gen/  
Нет возможности указать внутренний сервер для ftp  

Что-то не понял. Как я понял вам нужно с внешнего IP прокинуть FTP на внутренний IP для вашей железки,  так? Если да, то в генераторе все это заложено. Если нет, то пояcните точнее , что вам нужно.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 10749 | Зарегистр. 10-12-2003 | Отправлено: 06:52 11-10-2013 | Исправлено: ipmanyak, 09:49 11-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Да нашел в advanced options, я все это и без генератора могу написать. Что меня конкретно интересует понятно из предыдущих сообщений.

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 09:48 11-10-2013
Prophion

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
Что Вы тут людям голову морочите? Сколько FTP в этотм мире работают по правилам iptables в цепочке NAT (DNAT)? Не сосчитать.
Для iptables загрузите модули:
Код:
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
Не забываем, что nf_conntrack_ftp должне поддерживаться ядром
Создайте правила:
Код:
iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp --dport 21-20 -j DNAT --to-destination 192.168.122.25
iptables -I FORWARD -m state -d 192.168.122.25/32 --state NEW,RELATED,ESTABLISHED -j ACCEPT
где xxx.xxx.xxx.xxx - внешний IP на межсетевом экране
192.168.122.25 - IP ftp-сервера
Если внешний IP-динамический, то меняем -d xxx.xxx.xxx.xxx на -i eth1, где eth1 - интерфейс смотрящий в интернет, на фаерволле.
Если пассивный режим не заработал, то проблема явно не в iptables - он сделал для Вас всё что смог.
 
А для iptables есть http://l7-filter.sourceforge.net, который научит межсетевой экран работать на седьмом уровне модели OSI - уровне приложения.

Всего записей: 142 | Зарегистр. 18-02-2006 | Отправлено: 10:50 11-10-2013 | Исправлено: Prophion, 10:52 11-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Prophion
Я как бы и не заставляю никого отвечать... Ответили - спасибо, а если это вызывает такие душевные страдания, тогда лучше не отвечать.
 
Проблема решилась перезагрузкой модулей, видимо nat_ftp не подцепился в прошлый раз...
 
[root@localhost ~]# lsmod | grep conntr  
xt_conntrack            6337  0  
nf_conntrack_ftp       10849  1 nf_nat_ftp
nf_conntrack_ipv4      11717  2 iptable_nat
nf_conntrack           51849  9 nf_nat_ftp,xt_helper,xt_conntrack,xt_state,nf_conntrack_ftp,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nfnetlink               8281  3 nf_nat,nf_conntrack_ipv4,nf_conntrack
x_tables               14149  7 xt_helper,xt_conntrack,xt_state,xt_tcpudp,ipt_MASQUERADE,iptable_nat,ip_tables
 
ВСЕМ большое спасибо!

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 11:55 11-10-2013
Andrey31415



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Дабы не плодить новую тему.
 
А как данный вопрос решить под Windows?

Всего записей: 37 | Зарегистр. 20-11-2007 | Отправлено: 03:44 02-02-2015
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andrey31415
а точнее? современные роутеры отслеживают ftp подключения и заменяют внутренний ip на внешний.

Всего записей: 11652 | Зарегистр. 20-09-2014 | Отправлено: 04:02 02-02-2015
Andrey31415



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
современные роутеры

речь о том, что фтп стоит за компьютером с двумя сетевухами на windows, и поднят nat
совсеременного роутера нет)

Всего записей: 37 | Зарегистр. 20-11-2007 | Отправлено: 12:17 02-02-2015
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andrey31415

Цитата:
А как данный вопрос решить под Windows?

Как-то так:
Код:
netsh interface portproxy add v4tov4 listenport=44422 listenaddress=1.1.1.1 connectport=44422 connectaddress=192.168.0.33


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17002 | Зарегистр. 13-06-2007 | Отправлено: 15:33 02-02-2015
andrey7617



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день уважаемые форумчане !!!
Возник вопрос - прошу помощи у гуру ... Думаю тема подходящая для моего поста ...
 
 
Поднял ftp сервер с помощью файл зилла. Сделал так - клиенты подключаются в пассивном режиме. Вместо 21 ого порта в настройках файл зиллы указал 4x xxx и для пасиивного соедениения ограничил порты с 4x xxx оп 4x xxx (10 портов).
Сервер соединяется с интернетом за счет маршрутизатора ... Маршрутизатор в свою очередь берет интернет от 4g модема мегафон ...  
В настройках маршрутизатора пробросил вышеуказанные порты (общий 4x xxx и 10 портов с 4x xxx оп 4x xxx ).
В настройках фаервола сервера открыл эти порты на входящее соединение ...
 
 
С компьютеров которые получают интернет от проводного поставщика - на этот фтп сервер заходит без проблем ...
С компьютеров которые получают интернет от 3g модема МТС - на этот фтп сервер заходит без проблем ...
 
Но с компьютеров которые получают интернет от 3g модема Мегафон - Борода. На этих компах ( интернет от 3g модема Мегафон) отключал полностью фаервол , а так же в этот момент отключал фаервол на сервере  
- результат тот же борода ...    
 
Складывается мнение что причиной является сам 3g модема Мегафон - толи он не работает с этими портами (общий 4x xxx и 10 портов с 4x xxx оп 4x xxx ) толи я чего то не знаю / понимаю ...
 
 
Подскажите пожалуйста в чем на ваш взгляд может быть проблема ???
 
Заранее огромное спасибо !!!

Всего записей: 140 | Зарегистр. 24-09-2013 | Отправлено: 14:02 27-04-2015 | Исправлено: andrey7617, 14:04 27-04-2015
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Пассивный FTP проброс портов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru