Dotaz: vsftpd forwarding

Trošku si teď zkouším věci se sítí a narazil jsem na jeden problém. Potřeboval bych poradit jak mám nastavit forwarding ftp.

Situace je taková, že jeden vsftp server přístupný z netu, který mi běží na routeru. A potřeboval bych z toho ještě udělat forward na vsftp server, který mám v místní síti.Prozatím se mi podařilo přesměrovat pomocí natu port 8021 na port 21 vnitřního stroje. A nevím jak to mám udělat s pasivními porty, když ty už využívá ten vnější ftp server, nebo jak nastavit, aby každý vsftpd server používal jiné.

Předem děkuji za rady

Tak jsem trošku pokročil u vsftp na routeru jsem nastavil porty 1100-1200 a u vnitřního 1201-1300, ale pořád mi ten druhý nejede. Moduly mám zavedené

ip_nat_ftp              7168  0 
ip_conntrack_ftp       11504  1 ip_nat_ftp
ip_conntrack_netbios_ns     6912  0 
ipt_MASQUERADE          7424  1 
iptable_nat            11012  1 
ip_nat                 20780  3 ip_nat_ftp,ipt_MASQUERADE,iptable_nat
xt_state                6144  8 
ip_conntrack           52704  7 ip_nat_ftp,ip_conntrack_ftp,ip_conntrack_netbios_ns,ipt_MASQUERADE,iptable_nat,ip_nat,xt_state
nfnetlink              10648  2 ip_nat,ip_conntrack
iptable_filter          6912  1 
iptable_mangle          6784  0 
ip_tables              16964  3 iptable_nat,iptable_filter,iptable_mangle
tun                    14464  0 
sunrpc                144316  1 
ipv6                  257312  42 
xfrm_nalgo             13700  1 ipv6
ipt_recent             12432  4 
xt_tcpudp               7040  33 
x_tables               17284  6 ipt_MASQUERADE,iptable_nat,xt_state,ip_tables,ipt_recent,xt_tcpudp

A pravidla iptables:

# Generated by iptables-save v1.3.5 on Thu Feb  5 12:16:52 2009
*nat
:PREROUTING ACCEPT [435:41840]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [324:24162]
-A PREROUTING -p tcp -m tcp --dport 8081 -j DNAT --to-destination 10.0.0.2:80
-A PREROUTING -p tcp -m tcp --dport 8021 -j DNAT --to-destination 10.0.0.2:21
-A PREROUTING -p tcp -m tcp --dport 1201:1300 -m state --state ESTABLISHED -j DNAT --to-destination 10.0.0.2:1201-1300
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Thu Feb  5 12:16:52 2009
# Generated by iptables-save v1.3.5 on Thu Feb  5 12:16:52 2009
*filter
:INPUT DROP [179:21349]
:FORWARD ACCEPT [2983:447040]
:OUTPUT ACCEPT [5394:1730709]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d 10.0.0.101 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1100:1200 --dport 1100:1200 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 3690 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 5223 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 5269 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 68 -j ACCEPT
-A INPUT -d 10.0.0.101 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -d 10.0.0.101 -p udp -m udp --dport 68 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -d 10.0.0.101 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 123 -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 8081 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -d 10.0.0.101 -p tcp -m tcp --dport 8021 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1201:1300 --dport 1201:1300 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Feb  5 12:16:52 2009

Co mám ještě nastavit?

Kdysi hodně dávno jsem něco takového řešil, ptal se i tady, nakonec myslím pomohla specifikace portů při modprobe nf_conntrack_ftp

filename:       /lib/modules/2.6.26-1-686/kernel/net/netfilter/nf_conntrack_ftp.ko
alias:          ip_conntrack_ftp
description:    ftp connection tracking helper
author:         Rusty Russell <rusty@rustcorp.com.au>
license:        GPL
depends:        nf_conntrack
vermagic:       2.6.26-1-686 SMP mod_unload modversions 686
parm:           ports:array of ushort
parm:           loose:bool

ale, popravdě, netuším, je to dávno