https://slinkov.ru/openforum/vsluhforumID1/94974.html Привет, сообщество!<br><br>Делаю корпоративный FTP за натом.<br>Внешний адрес (преобразуется натом во внутренний): 55.55.55.55<br>Внутренний: 10.0.0.2<br>Настроил пассивный режим, включил masqueradeaddress. Снаружи все работает.<br>Напрямую из сети - не работает. Следуя этому (http://www.proftpd.org/docs/howto/NAT.html)<br>мини-howto добавил &lt;VirtualHost&gt; директиву (кусок конфига ниже).<br> <br>Часть конфига:<br>================================================<br>ServerName "FTP Site"<br>ServerType standalone<br>DefaultServer on<br>ScoreboardFile /var/run/proftpd/proftpd.scoreboard<br><br># Port 21 is the standard FTP port.<br>Port 21<br><br>#DefaultAddress 10.0.0.2<br>MasqueradeAddress 55.55.55.55<br>PassivePorts 21300 21800<br><br>&lt;VirtualHost 10.0.0.2&gt;<br> ServerName "Dataplus FTP {lan connection}"<br>&lt;/VirtualHost&gt;<br>================================================<br><br>Однако, не помогло. Из внутренней сети доступа все равно нет. proftpd выдает:<br>------------ https://slinkov.ru/openforum/vsluhforumID1/94974.html#11 Wed, 04 Sep 2013 09:20:09 GMT &gt; Ну если будет работать, считаем за годный вариант. Ты реализовывал такую схему <br>&gt; уже?<br><br>на почтовых сервисах реализовывал, для фтп нет - не было необходимости.<br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#10 Wed, 04 Sep 2013 09:04:04 GMT &gt;&gt; Проблема в том, что я не могу настроить proftpd в различных <br>&gt;&gt; режимах, в зависимости от клиентского адреса.<br>&gt; Это делается не на proftpd а на iptables.<br><br>Это мне уже понятно.<br><br>&gt; Различные режимы работы описываются в разных виртуалхостах с разными портами. iptables <br>&gt; занимается редиректом на эти порты исходя из адреса источника или любого <br>&gt; другого условия.<br><br>Ну если будет работать, считаем за годный вариант. Ты реализовывал такую схему уже?<br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#9 Wed, 04 Sep 2013 09:00:10 GMT &gt;&gt; Да, спасибо! Именно так оно изначально и реализовано. Хотел прояснить возможность <br>&gt;&gt; организации доступа с использованием одного интерфейса.<br>&gt; Имел ввиду - используя один ip адрес?<br><br>Ага.<br>Ну proftpd, как я понимаю, эти понятия не разделяет. Не суть, в общем.<br><br>&gt; Можно и на одном, но придется разнести конфиг для локалки и мира <br>&gt; по разным портам, т.е. в глобальном конфиге все остается так же <br>&gt; (настройка для локалки), а в виртуалхосте описывается нестандартный порт. Например <br>&gt; &lt;VirtualHost 10.0.0.2&gt; <br>&gt; Port 2121 <br>&gt; ....<br>&gt; Со стороны маршрутизатора делается проброс с 55.55.55.55 порт 21 на 10.0.0.2 порт <br>&gt; 2121 <br><br>Глупость написал ранее. Тоже хороший вариант, надо будет опробовать.<br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#8 Wed, 04 Sep 2013 08:55:39 GMT &gt; Проблема в том, что я не могу настроить proftpd в различных <br>&gt; режимах, в зависимости от клиентского адреса.<br><br>Это делается не на proftpd а на iptables.<br><br>Различные режимы работы описываются в разных виртуалхостах с разными портами. iptables занимается редиректом на эти порты исходя из адреса источника или любого другого условия.<br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#7 Wed, 04 Sep 2013 08:51:08 GMT &gt; Да, спасибо! Именно так оно изначально и реализовано. Хотел прояснить возможность <br>&gt; организации доступа с использованием одного интерфейса.<br><br>Имел ввиду - используя один ip адрес?<br><br>Можно и на одном, но придется разнести конфиг для локалки и мира по разным портам, т.е. в глобальном конфиге все остается так же (настройка для локалки), а в виртуалхосте описывается нестандартный порт. Например<br><br>&lt;VirtualHost 10.0.0.2&gt;<br> Port 2121<br>....<br><br>Со стороны маршрутизатора делается проброс с 55.55.55.55 порт 21 на 10.0.0.2 порт 2121<br><br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#6 Wed, 04 Sep 2013 08:48:00 GMT &gt; на какой адрес клиент из локалки пытается подключится на 55.55.55.55 или 10.0.0.2, <br>&gt; клиенты тоже в подсети 10.0.0.2, лог подключения с клиента есть?<br><br> Из локальной сети клиенты подключаются на адрес 10.0.0.2, клиенты в той же подсети.<br>Лога не осталось, однако видно, что сервер переходит в пассивный режим и объявляет себя 55.55.55.55. Клиентский компьютер, естественно, пытается продолжить общение с ip 55.55.55.55 и запросы уходят в интернет.<br><br> Проблема в том, что я не могу настроить proftpd в различных режимах, в зависимости от клиентского адреса.<br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#5 Wed, 04 Sep 2013 08:43:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt; вами я все равно не могу сделать разные настройки режима работы <br>&gt;&gt; фтп для разных клиентов, которые к нему стучатся.<br>&gt; Как я понял, для соединений из вне нужен passive mode, а для <br>&gt; локалки обычный?<br>&gt; Тогда например так: <br>&gt; на физический интерфейс дбавляется еще один адрес из локальной сети типа 10.0.0.3 <br>&gt; в глобальном конфиге надо описать все как для локалки с указанием DefaultAddress <br>&gt; 10.0.0.2 <br>&gt; в виртуалхосте с ip 10.0.0.3 нарисовать маскарад и пассивные порты.<br>&gt; со стороны маршрутизатора сделать перенаправление ftp на 10.0.0.3 <br><br> Да, спасибо! Именно так оно изначально и реализовано. Хотел прояснить возможность организации доступа с использованием одного интерфейса.<br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#4 Tue, 03 Sep 2013 17:06:29 GMT на какой адрес клиент из локалки пытается подключится на 55.55.55.55 или 10.0.0.2, клиенты тоже в подсети 10.0.0.2, лог подключения с клиента есть?<br> https://slinkov.ru/openforum/vsluhforumID1/94974.html#3 Tue, 03 Sep 2013 14:10:36 GMT &gt; Интересное предложение, однако оно не решает мою проблему.<br>&gt; У меня всего один физический интерфейс (кроме lo) и в решении, предложенным <br>&gt; вами я все равно не могу сделать разные настройки режима работы <br>&gt; фтп для разных клиентов, которые к нему стучатся.<br><br>Как я понял, для соединений из вне нужен passive mode, а для локалки обычный?<br><br>Тогда например так:<br><br>на физический интерфейс дбавляется еще один адрес из локальной сети типа 10.0.0.3<br>в глобальном конфиге надо описать все как для локалки с указанием DefaultAddress 10.0.0.2<br>в виртуалхосте с ip 10.0.0.3 нарисовать маскарад и пассивные порты.<br>со стороны маршрутизатора сделать перенаправление ftp на 10.0.0.3<br>