LINUX.ORG.RU
ФорумAdmin

Как локал. клиенту зайти на порт удалён. станции?


0

0

Имею: (linux, iptables)

локальная сеть: 192.168.0.0/16 сервер локальной сети: 192.168.0.1 устройство для локальной сети: eth0 На этом узле работает прозрачный прокси- squid:3128.

наружный адрес: aaa.bbb.ccc.ddd устройство для выхода наружу: eth1

Необходимо локальному Windows-клиенту 192.168.0.9 предоставить доступ к ftp-узлу 111.222.333.444:121 (администратор этого узла организовал доступ на этот порт).

Что я сделал:

.. $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP .. iptables -A INPUT --in-interface eth0 --protocol tcp --source 192.168.0.9 --dport 121 -j ACCEPT iptables -A FORWARD --in-interface eth0 --protocol tcp --source 192.168.0.9 --dport 121 -j ACCEPT iptables -A FORWARD --out-interface eth1 --protocol tcp --sport 121 --destination 192.168.0.9 -j ACCEPT iptables -A OUTPUT --out-interface eth1 --protocol tcp --sport 121 --destination 192.168.0.9 -j ACCEPT ..

Если клиент не указывает в своём Internet Explorer использование прокси, то доступ на 121 порт удалённого узла имеется, при указании использования прокси клиент получает сообщение,- доступ блокирован прокси сервером.

В конфиге squid.conf указано:

.. httpd_accel_host vitrual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on http_port 3128 .. acl SSL_ports port 443 563 # ssl #acl SSL_ports port 4661 4662 4665 4672 # aMule acl SSL_ports port 44777 7177 # svn acl Safe_ports port 80 # http acl Safe_ports port 81 83 84 85 acl Safe_ports port 21,121 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl SSL_ports port 443 5190 # icq- 443, 5190 acl Safe_ports port 443 5190 # icq- 443, 5190 # acl CONNECT method CONNECT ..

Верно ли я всё назначил?

Документацию по iptables читал, но чем больше читаю- тем больше сомнений в правильности принятого решения.

Спасибо.

anonymous

Re: Как локал. клиенту зайти на порт удалён. станции?

перепиши конфиги, а то читать не удобно, тогда может и посмотрит кто нибудь.

Takeda ()

Re: Как локал. клиенту зайти на порт удалён. станции?

да, с конфигами тяжко тут
из того, что смог разобрать:
iptables -A INPUT --in-interface eth0 --protocol tcp --source 192.168.0.9 --dport 121 -j ACCEPT - нахрен не нужно, или у вас локальный ftp 121 порт слушает?
iptables -A FORWARD --in-interface eth0 --protocol tcp --source 192.168.0.9 --dport 121 -j ACCEPT - вы хотите разрешить работу напрямую, минуя прокси?
iptables -A FORWARD --out-interface eth1 --protocol tcp --sport 121 --destination 192.168.0.9 -j ACCEPT - правило в корне не верно, оно описывает пакет, вышедший во внешнюю сеть, но почему то с частным адресом назначения.
iptables -A OUTPUT --out-interface eth1 --protocol tcp --sport 121 --destination 192.168.0.9 -j ACCEPT - неверно, аналогично предыдущему.

В общем - приведите конфиги в читаемый вид, и дайте вывод iptables -nvL и iptables -t nat -nvL. И поясните - вы все же хотите разрешить ftp через прокси или напрямую?

Sharp777 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.