информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыВсе любят медСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Дык я поэтому и спрашиваю... 20.06.03 15:09  Число просмотров: 1433
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> В пассивном режиме сервер передает клиенту адрес и порт, на
> который клиент должен законнектится. В твоем случае фтп
> сервер передает клиенту свой внутренний адрес, на который
> клиент, естественно, снаружи подконнектится не сможет.
Это-то понятно. Я поэтому сприашиваю есть ли в iptables возможность посмотреть внутрь пакета и изменить адрес там...Ну и соответственно затем разрулить ситуацию создания второго канала...
<networking>
пробрасывание ftp соеденение в пассивном режиме 19.06.03 16:32  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Есть шлюз на линухе,файерволл - iptables, во внутреней сети адреса 192.168.0.х, также во внутренней сети имеется ftp сервер. Для соединения с ним извне на файерволе задано правило:
-A PREROUTING -d EXT_IP -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.200:21 И в нормальном режиме все работает, а вот как сделать чтобы и в пассивном режиме работало??
пробрасывание ftp соеденение в пассивном режиме 19.06.03 16:58  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
В линухе я видел что-то под названиемmoduleкоторая фигня подгружается к iptables и переписывает пакеты для определенных протоколов типа фтп, нетбиос, н323 (в общем те, которые передают свои адреса в пакетах и из за этого не работают через нат). Пошукай в манах.
то ли ftp_module
то ли module-ftp
то ли mod_ftp -в общем не помню, сам не настраивал а видел в конфиге у знакомого.
Никак! 19.06.03 16:58  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> Есть шлюз на линухе,файерволл - iptables, во внутреней
> сети адреса 192.168.0.х, также во внутренней сети имеется
> ftp сервер. Для соединения с ним извне на файерволе задано
> правило:
> -A PREROUTING -d EXT_IP -p tcp -m tcp --dport 21 -j DNAT
> --to-destination 192.168.0.200:21 И в нормальном режиме
> все работает, а вот как сделать чтобы и в пассивном режиме
> работало??

В пассивном режиме сервер передает клиенту адрес и порт, на который клиент должен законнектится. В твоем случае фтп сервер передает клиенту свой внутренний адрес, на который клиент, естественно, снаружи подконнектится не сможет.
Дык я поэтому и спрашиваю... 20.06.03 15:09  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> В пассивном режиме сервер передает клиенту адрес и порт, на
> который клиент должен законнектится. В твоем случае фтп
> сервер передает клиенту свой внутренний адрес, на который
> клиент, естественно, снаружи подконнектится не сможет.
Это-то понятно. Я поэтому сприашиваю есть ли в iptables возможность посмотреть внутрь пакета и изменить адрес там...Ну и соответственно затем разрулить ситуацию создания второго канала...
смотри.. 14.07.03 18:25  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#COMPLEXPROTOCOLS
и
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#DNATTARGET
смотри внимательно с "Действие DNAT достаточно сложно в использовании и требует дополнительного пояснения. Рассмотрим простой пример. У нас есть WEB сервер и мы хотим разрешить доступ к нему из Интернет. Мы имеем только один реальный IP адрес, ..."

ну и не забудь подгрузить модулей:
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach