Kirill Опубликовано 28 августа, 2006 Жалоба Поделиться Опубликовано 28 августа, 2006 Подскажите пожалуйста. Ситуация такая: Есть firewall с внутренним IP 10.0.0.1. За ним стоит прокси-сервер с маскарадом внешний IP 10.0.0.2 , внутренний IP 192.168.1.1 . Далее идет сеть с этим же диапазоном адресов. Пытаюсь подключиться по FTP к серверу провайдера 111.222.444.667 из сети 192.168.1.0. Авторизация проходит без проблем. Но вот когда сервер провайдера отправляет покет на 20 порт, он почему-то предназначен для внешнего IP прокси сервера. Как правюльно маскарадить, что бы таких баг не вылезало? Правила на прокси в iptables во всех цепочках ACCEPT плюс -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE Лог iptables Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1003 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17402 RES=0x00 ACK URGP=0 Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=98 TOS=0x00 PREC=0x00 TTL=51 ID=4274 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=45 TOS=0x00 PREC=0x00 TTL=127 ID=1004 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17344 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=49 TOS=0x00 PREC=0x00 TTL=51 ID=4275 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1005 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17335 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=70 TOS=0x00 PREC=0x00 TTL=51 ID=4276 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=1006 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17305 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=91 TOS=0x00 PREC=0x00 TTL=51 ID=4277 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=46 TOS=0x00 PREC=0x00 TTL=127 ID=1007 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17254 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth0 OUT= MAC=00:05:5d:74:99:22:00:12:a9:1a:28:7c:08:00 SRC=111.222.444.667 DST=10.0.0.2 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=60288 DF PROTO=TCP SPT=20 DPT=1237 WINDOW=5840 RES=0x00 SYN URGP=0 Aug 28 11:37:07 mail kernel: IN= OUT=eth0 SRC=10.0.0.2 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=1237 DPT=20 WINDOW=0 RES=0x00 ACK RST URGP=0 Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=4278 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK URGP=0 Aug 28 11:37:07 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=79 TOS=0x00 PREC=0x00 TTL=51 ID=4279 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:07 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1008 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17215 RES=0x00 ACK URGP=0 Aug 28 11:37:08 mail kernel: IN=eth0 OUT=eth1 SRC=111.222.444.667 DST=192.168.1.5 LEN=77 TOS=0x00 PREC=0x00 TTL=51 ID=4280 DF PROTO=TCP SPT=21 DPT=1236 WINDOW=5840 RES=0x00 ACK PSH URGP=0 Aug 28 11:37:08 mail kernel: IN=eth1 OUT=eth0 SRC=192.168.1.5 DST=111.222.444.667 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1011 DF PROTO=TCP SPT=1236 DPT=21 WINDOW=17178 RES=0x00 ACK URGP=0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 28 августа, 2006 Жалоба Поделиться Опубликовано 28 августа, 2006 Цитата: Но вот когда сервер провайдера отправляет покет на 20 порт, он почему-то предназначен для внешнего IP прокси сервера. и абсолютно правильно делает. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kirill Опубликовано 28 августа, 2006 Автор Жалоба Поделиться Опубликовано 28 августа, 2006 Правильно... оно может и правильно! Но у меня Ftp не работает. Зависает на чтении директории. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hans R. Steiner Опубликовано 28 августа, 2006 Жалоба Поделиться Опубликовано 28 августа, 2006 iptables -t nat -A POSTROUTING -s ${NETWORK}/${BIT} -j SNAT --to-source ${IPADDR} Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
SignFinder Опубликовано 28 августа, 2006 Жалоба Поделиться Опубликовано 28 августа, 2006 Цитата: Но у меня Ftp не работает. Зависает на чтении директории. ipt_nat_ftp модуль подгружен? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.