LINUX.ORG.RU
ФорумAdmin

Как попадать на passive ftp из локалки 192.168.0.0


0

0

Поставил Fedora Core 2 на сервак и организовал выход компьютеров локалки 192.168.0.0 во внешний Интернет.
Однако пользователи локалки (WinXP) теперь не могут обновлять свои странички на ftp-серверах хостингов...
Это еще один перл Fedora Core 2 (kernel 2.6.5). Раньше на ядре 2.4 RedHat 7.0 такого не было...

Вот настройки:
echo "1" > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j SNAT --to-source 1.2.3.4

modprobe -l | grep ftp

/lib/modules/2.6.5-1.358new/kernel/net/ipv4/ipvs/ip_vs_ftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_nat_ftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_conntrack_tftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_nat_tftp.ko

Вроде все команды даны, все модули включены. Однако, ничего не работает.

P.S. Может галимый клиент ftp винды не может переключаться в passive mode? Работает только в active...
Даже на серваке с твердым IP-адресом в активном режиме коннекта с проблемными ftp-узлами не происходит...

anonymous

Re: Как попадать на passive ftp из локалки 192.168.0.0

Хм... Насколько я знаю с пассивным за-за NAT не должно быть никаких проблем, а что-бы работало без пассивного надо модули ip_conntrack_ftp и ip_nat_ftp

CFA ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

modprobe -l | grep nat

/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_nat_ftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_nat_irc.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_nat_tftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/iptable_nat.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_nat_amanda.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_nat_snmp_basic.ko
/lib/modules/2.6.5-1.358new/kernel/net/bridge/netfilter/ebt_snat.ko
/lib/modules/2.6.5-1.358new/kernel/net/bridge/netfilter/ebtable_nat.ko
/lib/modules/2.6.5-1.358new/kernel/net/bridge/netfilter/ebt_dnat.ko

modprobe -l | grep conntrack

/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_conntrack.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_conntrack_tftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ipt_conntrack.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_conntrack_irc.ko
/lib/modules/2.6.5-1.358new/kernel/net/ipv4/netfilter/ip_conntrack_amanda.ko

Вообще меня смущает акаой-то tftp - что это такое? Может выкинуть его из списка запущенных модулей?

anonymous ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

>> Может галимый клиент ftp винды не может переключаться в passive mode?

Может и качает, только галимо. Там даже в ИЕ галочку можно поставить про пассивный режим.

anonamoz ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT

anonymous ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

> -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT

На всякий случай: это ответ "как сделать, чтобы работало", а не ответ на вопрос "покажи список правил". :)

anonymous ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

>iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.1 anywhere to:1.2.3.4

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Выше отвечал не автор ветки.
Ну а такой рецепт:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT

я попробовал в первую очередь. Не помогает.

Ребята, а может конфиг ядра кинуть применительно к NAT? Может галки какие-то неправильно выставил при компиляции ядра?

anonymous ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

Попробуй так:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT

И скажи своим юзверям WinXP, чтоб залазили на ФТП в пасивном режиме, ну к примеру Фаром, а не IE...

iron ★★★★★ ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

Ребята, поразительно, но ftp-коннект и передача файлов через IE 6.0 SP2 (WinXP) работает...
Я прямо теряюсь в догадках...

Не работает ftp в командной строке Выни и ftp в Total Commander 6.0 (ибо скорее всего он от Выни). FAR не использую.

anonymous ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

Заработал и ftp от Total Commander. Там, оказывается, есть в настройках галка пассивного режима. Ее надо установить, ибо по-умолчанию врубается active mode.

Интересно, а почему это NAT в 2.6 так переписали, что возникли проблемы active mode? Причем, проблемы в лоб не решаются...

Словом, получился каламбур: проблема решена, но проблемы с пониманием остались :-))

anonymous ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

Обнаружил, что в настройках IE 6.0 как раз присутствует опция "Passive mode" по-умолчанию.
Однако она не влияет на виндовый ftp от командной строки...

Впрочем, после включения passive mode в настройках IE, начинает работать все - и сам IE, и Проводник Выни. Все, кроме командной строки.
Ну и шут с ней - все равно ей из виндовых юзеров единицы пользкются.

anonymous ()

Re: Как попадать на passive ftp из локалки 192.168.0.0

> Интересно, а почему это NAT в 2.6 так переписали, что возникли проблемы active mode? Причем, проблемы в лоб не решаются...

НИчего там не переписали ! Тебе нада просто кроме 21-го порта, ещё открыть 20 для данных, тогда будит и актив ФТП работать. Ты б почитал про роботу активаи пасива.

iron ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.