Administrace komentářů

Mam server, ktery ma dve ip adresy, jednu verejnou a jednu neverejnou. K verejne ip adrese je pribindovan ftp server.

Předpokládám, že obě adresy jsou nastaveny na jedné síťové kartě, která je zapojena do nějaké LAN.

Problem je, ze kdyz se pokusim z lokalni stanice pripojit na verejnou ip adresu serveru, kde bezi FTP, tak se spojeni neuskutecni.

Předpokládám, že lokální stanice je ve stejné LAN jako ten server a má neveřejnou IP adresu ze stejného rozsahu, jako je neveřejná adresa serveru.

Router i server jsou na stejnem switchi.

Předpokládám, že router je někdo úplně třetí, který má nějaké (v tuto chvíli nezajímavé) rozhraní do Internetu a dále má rozhraní do lokální LAN, na němž má nastavenu IP adresu z neveřejného rozsahu té LAN i z veřejného rozsahu stejného, jaký má ten FTP server.

Chápu-li to tedy správně, ze stanice, která má pouze neveřejnou IP se snažíte přistupovat na veřejnou IP serveru ve stejné LAN a nefunguje to. V takové situaci do hry vstupuje i ten router, protože stanice použije pro přístup k serveru svou výchozí bránu (nemá totiž tušení, že server je na stejném segmentu) a váš router by měl jednak poslat ICMP Redirect a jednak by měl ten požadavek přeroutovat na server.

Pokud to nedělá, je nejspíš nevhodně nastaven firewall na routeru - ve vašem případě totiž požadavek stanice přijde vnitřním rozhraním a následně se stejným rozhraním předává ven serveru. Překombinovaná nastavení povolených vstupních/výstupních rozhraní a adresních rozsahů (běžná v různých "prefabrikovaných" skriptech) s takovou situací obvykle nepočítají a provoz zablokují.

Čili je vhodné:

1. Zamyslet se nad chainem FORWARD iptablesů na routeru.
2. Spustit si tcpdump nebo něco podobného současně na stanici, routeru a serveru a zkusit se připojit. No a pak si provozy spárovat a zjistit, kde je co blbě.

Druhá závada, která mě napadá, je, že požadavek sice správně dorazí na server, ale server na něj blbě zareaguje. Odpověď od serveru stanici se totiž nebude routovat přes router, ale (protože server má i lokální neveřejnou IP) odpoví se přímo stanici přes LAN. A pokud server (z nějakého mi neznámého důvodu) ve své odpovědi uvede jako svou SRC IP tu svou lokální adresu, tak stanice odpověď zahodí, protože o takovou nestojí. To nicméně vypátráte právě z těch tcpdumpů spuštěných na všech třech zúčastněných uzlech.