PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : alle FTP packete an X weiterleiten



Freekazonid
17.02.04, 19:38
lf geht wieder: echt knorke :D

so zu meinem prob

ich habe einen NAT hinter dem ein LAN hängt ( LAN geht über NAT ins inet wer hätte es gedacht )

so nun sollen alle packete die nach FTP ausschauen ( sprich alles was auf port 21 && 20 kommt ) von dem NAT auf einen rechner im lan weitergeleitet werden werden.

ich habs mal damit probiert

iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.195

aber diese eigencreation tut es nicht ;) kann da wer helfen?

danke

emba
17.02.04, 20:52
ftp und nat ist schon nicht ganz einfach
am besten lädst du (das hoffentlich vorhandene oder in den kernel einkompilierte modul) ip_conntrack_ftp nach

dann musst du logischerweise auch den traffic, der von server+port 20 (für active ftp data) kommt, DNATen und weiterleiten (im falle des conntrack_ftp moduls AFAIK nicht notwendig, da er es als state "related" ansieht - bitte verbessern, wenn ich falsch liege)

desweiteren wären deine policies und rules interessant

greez

Dellerium
18.02.04, 09:23
ohm... ist jetzt nur ne Fragre, aber du hast dsl ?? Wenn ja, muss das interface dann nicht ppp0 sein ?? (bei Isdn ippp0) Oder läuft das wirlich über eth0 ?

Gruss Andre

usr
18.02.04, 09:27
Zum Thema FTP, iptables usw.: http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html

Freekazonid
18.02.04, 14:04
@ emba habe das ip_conntrack_ftp geladen und dann nochmal ausprobiert ( mit ppp0 wie dellerium anmerkte ) ging aber immer noch nicht

meine policies naja ich baue grad den ganzen kram um da der kram noch aus der ersten version meines NAT stammt, immomment wird nicht expliziet gesagt ob alles auf bzw zu ist und es werden einige sachen geforwardet, zb edonkey, bnet, q3 etc

@dellerium hm yo hast wohl recht :D aber mit ppp0 gehts uch net

@usr danke für den link aber einleitungen zu dem thema hab ich schon genug, und expliziet zum weiterleiten zu einem bestimmten rechner steht da auch nix

emba
18.02.04, 14:11
naja, bei deinem durcheinander ist es dann wohl klar, wenn es nicht klappt

für den anfang würde ich alle chains/rules löschen und sauber mit policy accept nur ftp traffic unter die lupe nehmen

bei mir funzt (aus eigenem anlass) nur passive ftp nach außen

dazu brauchst du nur dieses ftp nat modul und eine rule, welcher connections nach außen zu port 21 erlaubt

schon klappt passive ftp

greez

Freekazonid
18.02.04, 14:38
mh habe ich ma gemacht geht aber immer noch net

iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe ip_conntrack_ftp
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 21 -j DNAT --to-destination 192.168.0.195


ist die iptables rule überhaupt richtig bzw fehlt da nicht nochwas? kommt mir etwas arg wenig vor wenn ich bedenke das die scripte für bnet und q3 30-40 zeilen lang sind ( ich könnte mal probieren ob ich wenn ich eines der scripte für ftp "umschreibe" obs dann ging, für q3 und bnet gings; allerdings will ich diese lösung nicht einsetzen, daher macht das garkein sinn. wieso nicht? weil ich net glaube das man soviel braucht um einen port forzuwarden und es eleganter & kürzer ist bzw da einiges ist was man net braucht; ausserdem ist das nicht von mir und ich würde gerne verstehen was bei mir läuft und wollte alle scripte selber schreiben und mit ftp anfangen und die alten nicht mehr verwenden ( auch nciht mehr für q3 bnet ed2k etc ) )

/e es scheint doch zu gehen :D ich selber kann nicht über meine ip adresse vom internet darauf connecten daher schlugen meine tests fehlen ;) bei anderen scheints aber zu gehen

emba
18.02.04, 16:15
hm

sorry, im obigen post habe ich mich etwas vertan - meinte damit, wenn client von innen nach außen auf einen server connecten

wenn alle policies auf ACCEPT stehen und keine weiteren rules eingefügt worden sind, so sollte

iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 21 -j DNAT --to-destination 192.168.0.195

reichen, damit sich clients überhaupt erstmal zum server connecten können (müsste auch in den logs erscheinen)

nun connectet der server (bei active ftp) automatisch von port 20 aus zum client - auch das müsstest du mit einem sniffer auf dem gateway sehen

greez