Как правильно маршрутизировать.

[Kirill]

Подскажите пожалуйста.

Ситуация такая: Есть firewall с внутренним IP 10.0.0.1. За ним стоит прокси-сервер с маскарадом внешний IP 10.0.0.2 , внутренний IP 192.168.1.1 . Далее идет сеть с этим же диапазоном адресов. Пытаюсь подключиться по FTP к серверу провайдера 111.222.444.667 из сети 192.168.1.0. Авторизация проходит без проблем. Но вот когда сервер провайдера отправляет покет на 20 порт, он почему-то предназначен для внешнего IP прокси сервера. Как правюльно маскарадить, что бы таких баг не вылезало?

Правила на прокси в iptables во всех цепочках ACCEPT плюс -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE

Лог iptables

Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1003 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17402 RES=0x00 ACK URGP=0

Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=98 TOS=0x00 PREC=0x00 TTL=51 ID=4274 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=45 TOS=0x00 PREC=0x00 TTL=127 ID=1004 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17344 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=49 TOS=0x00 PREC=0x00 TTL=51 ID=4275 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1005 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17335 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=70 TOS=0x00 PREC=0x00 TTL=51 ID=4276 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=1006 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17305 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=91 TOS=0x00 PREC=0x00 TTL=51 ID=4277 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=46 TOS=0x00 PREC=0x00 TTL=127 ID=1007 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17254 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth0 OUT= MAC=00:05:5d:74:99:22:00:12:a9:1a:28:7c:08:00 SRC=111.222.444.667 DST=10.0.0.2 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=60288 DF PROTO=TCP SPT=20 DPT=1237 WINDOW=5840 RES=0x00 SYN URGP=0

Aug 28 11:37:07 mail kernel: IN= OUT=eth0 SRC=10.0.0.2 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=1237 DPT=20 WINDOW=0 RES=0x00 ACK RST URGP=0

Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=4278 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK URGP=0

Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=79 TOS=0x00 PREC=0x00 TTL=51 ID=4279 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1008 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17215 RES=0x00 ACK URGP=0

Aug 28 11:37:08 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=77 TOS=0x00 PREC=0x00 TTL=51 ID=4280 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0

Aug 28 11:37:08 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1011 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17178 RES=0x00 ACK URGP=0

[SignFinder]

Цитата:

Но вот когда сервер провайдера отправляет покет на 20 порт, он почему-то предназначен для внешнего IP прокси сервера.

и абсолютно правильно делает.

[Kirill]

Правильно... оно может и правильно! Но у меня Ftp не работает. Зависает на чтении директории.

[Hans R. Steiner]

iptables -t nat -A POSTROUTING -s ${NETWORK}/${BIT} -j SNAT --to-source ${IPADDR}

[SignFinder]

Цитата:

Но у меня Ftp не работает. Зависает на чтении директории.

ipt_nat_ftp модуль подгружен?