FTP server v lokální síti dostupny z venčí?

Nevi je-li to realny. Mám router s linuxem na kterem je venkovni adresa, ve vnitrni siti mam dvoutisiockovej server na kterym mam FTP server. Je mozne aby router presmeroval venkovni pozadavek s portem 21 (ftp) do vnitrni site kde bezi ftp server? Venkovní adresa je 193.179.154.126.

Diky moc za odpoved.

Odpovědi

jj staci redirect portu dovnitr, iptables to umi pekne

25.2.2004 13:27 Beda
Rozbalit Rozbalit vše FTP server v lokalni siti dostupny z venci?

a nezapomet na to, jak funguje pasivni a aktivni rezim... takze nahrat moduly ip_conntrack_ftp ip_nat_ftp pripadne s konkretnima parametrama portu a nezapomet na related stavy v pravidlech.

25.2.2004 15:06 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše FTP server v lokalni siti dostupny z venci?

Já bych teda rtozjel ten ftp (vsftpd) primo na tom routru. Kamil

Taky si udělám nějakou studii.

Takze by to melo byt asi takhle:

#IP adresa a vnejsi rozhrani
INET_IP="x.x.x.x"
INET_IFACE="eth0"

# IP a broadcast adresa a rozhrani vnitrni site
LAN1_IP="192.168.1.1/32"
LAN1_BCAST="192.168.1.255/32"
LAN1_IFACE="eth1"

# Cesta k programu iptables
IPTABLES="/sbin/iptables"

# Inicializace databaze modulu
/sbin/depmod -a

# Zavedeme moduly pro nestandardni cile
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

# Modul pro FTP prenosy
/sbin/modprobe ip_conntrack_ftp
# Zapneme routovani paketu
echo "1" > /proc/sys/net/ipv4/ip_forward

# Presmerujeme port 20,21 na port 20,21 na stanici uvnitr site
$IPTABLES -t nat -A PREROUTING -p tcp --dport 20 -d $INET_IP -j DNAT --to 192.168.1.100:20
$IPTABLES -t nat -A PREROUTING -p tcp --dport 21 -d $INET_IP -j DNAT --to 192.168.1.100:21

# TOS flagy slouzi k optimalizaci datovych cest pro ftp
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput

# Umoznit presmerovani portu na stanici dovnitr site
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p tcp -d 192.168.1.100 --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p tcp -d 192.168.1.100 --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

cd /pub | more beer

25.2.2004 18:05 Beda
Rozbalit Rozbalit vše FTP server v lokalni siti dostupny z venci?

modinfo ip_conntrack_ftp (implicitni hodnota pri neuvedeni ports je jako ports=21)

asi bych zkusil neco jako:
iptables -t nat -A PREROUTING -p tcp --dport 21 -i lo -j DNAT --to 192.168.0.1:21
a nezapomenout na ty moduly, jak tady uz bylo receno. jen si nejsem jisty, jestli pojede pasivni rezim. to by bylo pak asi potreba redirectovat i porty, ktere se pro to pouzivaji, tj. napriklad 62000 az 64000 (a na to nakonfigurovat ftp server).

25.2.2004 15:35 nujo
Rozbalit Rozbalit vše FTP server v lokální síti dostupny z venčí?

tak to co jsem poslal neberte vacne, poucte se od bobina (nebojak) a jen zvazte ten pasivni rezim :-)

25.2.2004 16:39 Pary | skóre: 6
Rozbalit Rozbalit vše FTP server v lokální síti dostupny z venčí?

Diky moc za odpovědi uz to fachá. DÍKES!!!

Dotaz: FTP server v lokální síti dostupny z venčí?

Odpovědi