Archiv verlassen und diese Seite im Standarddesign anzeigen : alle FTP packete an X weiterleiten
Freekazonid
17.02.04, 19:38
lf geht wieder: echt knorke :D
so zu meinem prob
ich habe einen NAT hinter dem ein LAN hängt ( LAN geht über NAT ins inet wer hätte es gedacht )
so nun sollen alle packete die nach FTP ausschauen ( sprich alles was auf port 21 && 20 kommt ) von dem NAT auf einen rechner im lan weitergeleitet werden werden.
ich habs mal damit probiert
iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.195
aber diese eigencreation tut es nicht ;) kann da wer helfen?
danke
ftp und nat ist schon nicht ganz einfach
am besten lädst du (das hoffentlich vorhandene oder in den kernel einkompilierte modul) ip_conntrack_ftp nach
dann musst du logischerweise auch den traffic, der von server+port 20 (für active ftp data) kommt, DNATen und weiterleiten (im falle des conntrack_ftp moduls AFAIK nicht notwendig, da er es als state "related" ansieht - bitte verbessern, wenn ich falsch liege)
desweiteren wären deine policies und rules interessant
greez
ohm... ist jetzt nur ne Fragre, aber du hast dsl ?? Wenn ja, muss das interface dann nicht ppp0 sein ?? (bei Isdn ippp0) Oder läuft das wirlich über eth0 ?
Gruss Andre
Zum Thema FTP, iptables usw.: http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html
Freekazonid
18.02.04, 14:04
@ emba habe das ip_conntrack_ftp geladen und dann nochmal ausprobiert ( mit ppp0 wie dellerium anmerkte ) ging aber immer noch nicht
meine policies naja ich baue grad den ganzen kram um da der kram noch aus der ersten version meines NAT stammt, immomment wird nicht expliziet gesagt ob alles auf bzw zu ist und es werden einige sachen geforwardet, zb edonkey, bnet, q3 etc
@dellerium hm yo hast wohl recht :D aber mit ppp0 gehts uch net
@usr danke für den link aber einleitungen zu dem thema hab ich schon genug, und expliziet zum weiterleiten zu einem bestimmten rechner steht da auch nix
naja, bei deinem durcheinander ist es dann wohl klar, wenn es nicht klappt
für den anfang würde ich alle chains/rules löschen und sauber mit policy accept nur ftp traffic unter die lupe nehmen
bei mir funzt (aus eigenem anlass) nur passive ftp nach außen
dazu brauchst du nur dieses ftp nat modul und eine rule, welcher connections nach außen zu port 21 erlaubt
schon klappt passive ftp
greez
Freekazonid
18.02.04, 14:38
mh habe ich ma gemacht geht aber immer noch net
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe ip_conntrack_ftp
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 21 -j DNAT --to-destination 192.168.0.195
ist die iptables rule überhaupt richtig bzw fehlt da nicht nochwas? kommt mir etwas arg wenig vor wenn ich bedenke das die scripte für bnet und q3 30-40 zeilen lang sind ( ich könnte mal probieren ob ich wenn ich eines der scripte für ftp "umschreibe" obs dann ging, für q3 und bnet gings; allerdings will ich diese lösung nicht einsetzen, daher macht das garkein sinn. wieso nicht? weil ich net glaube das man soviel braucht um einen port forzuwarden und es eleganter & kürzer ist bzw da einiges ist was man net braucht; ausserdem ist das nicht von mir und ich würde gerne verstehen was bei mir läuft und wollte alle scripte selber schreiben und mit ftp anfangen und die alten nicht mehr verwenden ( auch nciht mehr für q3 bnet ed2k etc ) )
/e es scheint doch zu gehen :D ich selber kann nicht über meine ip adresse vom internet darauf connecten daher schlugen meine tests fehlen ;) bei anderen scheints aber zu gehen
hm
sorry, im obigen post habe ich mich etwas vertan - meinte damit, wenn client von innen nach außen auf einen server connecten
wenn alle policies auf ACCEPT stehen und keine weiteren rules eingefügt worden sind, so sollte
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 21 -j DNAT --to-destination 192.168.0.195
reichen, damit sich clients überhaupt erstmal zum server connecten können (müsste auch in den logs erscheinen)
nun connectet der server (bei active ftp) automatisch von port 20 aus zum client - auch das müsstest du mit einem sniffer auf dem gateway sehen
greez
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.