URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39180
[ Назад ]
Исходное сообщение
"FTP через SQUID"
Отправлено AlexD , 10-Янв-04 08:54 
Я в работе с Линуксом новичек так что прошу не издеваться. У меня есть брандмауэр на Линуксе и естественно сеть. На Линуксе стоит Сквид. Когда лезу на любой фтр броузер сначала долго думает, а потом говорит что такой папки не существует и привет. Хотя на эти же фтп спокойно можно залезть с линукса где инет на прямую. Подскажите плиз в какую сторону рыть.
Содержание
Сообщения в этом обсуждении
"FTP через SQUID"
Отправлено nubi , 10-Янв-04 09:46 
>Я в работе с Линуксом новичек так что прошу не издеваться. У
>меня есть брандмауэр на Линуксе и естественно сеть. На Линуксе стоит
>Сквид. Когда лезу на любой фтр броузер сначала долго думает, а
>потом говорит что такой папки не существует и привет. Хотя на
>эти же фтп спокойно можно залезть с линукса где инет на
>прямую. Подскажите плиз в какую сторону рыть.


Рыть надо в сторону iptables/ipchains.

А проще прописать в браузере ftp proxy (тот же что и для веб - адрес squid).
Возможно потребуется подправить squid.conf,  но если он , конфиг, из коробки, то ничего править не надо.

Почитай также про отличия ftp active mode, ftp passive mode для кругозора такскать. Поищи тут, на опеннете.

"FTP через SQUID"
Отправлено AlexD , 10-Янв-04 10:25 
В браузере у меня и так стоит один прокси на все протоколы.
А вот squid.conf

auth_param ntlm program /usr/lib/squid/ntlm_auth CASHE/linserv
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 3
auth_param ntlm max_challenge_lifetime 2 minute

append_domain ....................
cache_mgr ....@..................

http_port 192.168.48.225:8080

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localsrc src 127.0.0.1 192.168.48.0/255.255.255.0
acl localdst dst 127.0.0.1 192.168.48.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535 980
acl CONNECT method CONNECT
acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK
acl internet_users proxy_auth REQUIRED

http_access allow internet_users
http_access allow manager localsrc
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localsrc
http_access deny all

store_avg_object_size 3 KB

Может тут всетаки чтото не так?

"FTP через SQUID"
Отправлено nubi , 10-Янв-04 10:48 
>В браузере у меня и так стоит один прокси на все протоколы.
>
>А вот squid.conf
>
>auth_param ntlm program /usr/lib/squid/ntlm_auth CASHE/linserv
>auth_param ntlm children 5
>auth_param ntlm max_challenge_reuses 3
>auth_param ntlm max_challenge_lifetime 2 minute
>
>append_domain ....................
>cache_mgr ....@..................
>
>http_port 192.168.48.225:8080
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_object
>acl localsrc src 127.0.0.1 192.168.48.0/255.255.255.0
>acl localdst dst 127.0.0.1 192.168.48.0/255.255.255.0
>acl SSL_ports port 443 563
>acl Safe_ports port 80 21 443 563 70 210 1025-65535 980
>acl CONNECT method CONNECT
>acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK
>
>acl internet_users proxy_auth REQUIRED
>
>http_access allow internet_users
>http_access allow manager localsrc
>http_access deny manager
>http_access deny !Safe_ports
>http_access deny CONNECT !SSL_ports
>http_access allow localsrc
>http_access deny all
>
>store_avg_object_size 3 KB
>
>Может тут всетаки чтото не так?


гм.. все ок..

может firewall?

service iptables status
?

"FTP через SQUID"
Отправлено AlexD , 10-Янв-04 11:06 
Table: nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        
DNAT       tcp  --  anywhere             tsk-634-3.adsl.tomsknet.rutcp dpt:ica to:192.168.48.231:1494
DNAT       tcp  --  anywhere             tsk-634-3.adsl.tomsknet.rutcp dpt:3050 to:192.168.48.116:3050

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
MASQUERADE  tcp  --  192.168.48.248       anywhere           tcp dpt:5190

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
Table: filter
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             192.168.48.231     tcp dpt:ica
ACCEPT     tcp  --  anywhere             192.168.48.116     tcp dpt:3050
ACCEPT     tcp  --  192.168.48.248       anywhere           tcp dpt:5190 state NEW,ESTABLISHED
ACCEPT     tcp  --  192.168.48.248       anywhere           tcp spt:5190 state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
Table: mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        

"FTP через SQUID"
Отправлено AlexD , 10-Янв-04 11:09 
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp

Присутствуют

"FTP через SQUID"
Отправлено nubi , 10-Янв-04 11:54 
>$MODPROBE ip_conntrack_ftp
>$MODPROBE ip_nat_ftp
>
>Присутствуют


Ой. давай методом тыка:
service iptables save
(сохраним текущие правила)

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -t nat -A POSTROUTING -s 192.168.48.0/24 -j MASQUERADE


Так работает?
(восстановить прежнее состояние
service iptables start)

248 - это линух?

"FTP через SQUID"
Отправлено AlexD , 10-Янв-04 12:23 
Да, так работает. 248 это локальная тачка на W2K. Линух на 225
"FTP через SQUID"
Отправлено AlexD , 10-Янв-04 12:41 
ICQ 242775853
Можно сломиться в аське.
"FTP через SQUID"
Отправлено nubi , 10-Янв-04 12:42 
>Да, так работает. 248 это локальная тачка на W2K. Линух на 225
>


Тогда добавь DNAT для проброса во внутренюю сеть соединений (ну то что было у тебя в DNAT) (Если оно надо - я предполагаю,что это осталось с некоторых времен и не надо)и потом сохрани правила iptables.

"FTP через SQUID"
Отправлено nubi , 10-Янв-04 13:24 
>>Да, так работает. 248 это локальная тачка на W2K. Линух на 225
>>
>
>
>Тогда добавь DNAT для проброса во внутренюю сеть соединений (ну то что
>было у тебя в DNAT) (Если оно надо - я предполагаю,что
>это осталось с некоторых времен и не надо)и потом сохрани правила
>iptables.


и обнови у себя ssh и   postfix.
а то взломают.

"FTP через SQUID"
Отправлено AlexD , 12-Янв-04 05:35 
>>Да, так работает. 248 это локальная тачка на W2K. Линух на 225
>>
>
>
>Тогда добавь DNAT для проброса во внутренюю сеть соединений (ну то что
>было у тебя в DNAT) (Если оно надо - я предполагаю,что
>это осталось с некоторых времен и не надо)и потом сохрани правила
>iptables.

Можно с этого момента по подробнее? Будет ли фтп лазить через прокси если я проброшу соединение во внутреннюю сеть? И можно привести примерный вид правил которые я должен добавить.

"FTP через SQUID"
Отправлено AlexD , 12-Янв-04 10:21 
Я добавил следущие правила
$IPTABLES -A FORWARD -p tcp --dport 21 -i ppp0 -s 192.168.48.248 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.48.248 --dport 21 -j MASQUERADE
$IPTABLES -A FORWARD -p tcp --sport 21 -i ppp0 -s 192.168.48.248 -m state --state ESTABLISHED,RELATED -j ACCEPT

ФТП заработало. Теперь вопрос в том, ходит у меня фтп через прокси или нет, потому что в access.log никакой информации о моем хождении по фтп нет.

"FTP через SQUID"
Отправлено shura , 13-Янв-04 10:04 
если ходите в инет с виндовой машины IE-ом через squid на Linux-е, то возможно стоит в IE убрать следующую галочку:
Сервис->Свойства Обозревателя->Дополнительно->разрешить предоставления для папок для узлов FTP
сорри, если что не так понял.
"FTP через SQUID"
Отправлено KLM , 13-Янв-04 17:34 
>Я в работе с Линуксом новичек так что прошу не издеваться. У
>меня есть брандмауэр на Линуксе и естественно сеть. На Линуксе стоит
>Сквид. Когда лезу на любой фтр броузер сначала долго думает, а
>потом говорит что такой папки не существует и привет. Хотя на
>эти же фтп спокойно можно залезть с линукса где инет на
>прямую. Подскажите плиз в какую сторону рыть.

http://linuxportal.ru/entry.php/81_0_3_0_C/
поискать на предмет FROX
http://frox.sourceforge.net/

"FTP через SQUID"
Отправлено AlexD , 17-Янв-04 12:05 
У меня случилось непредвиденное, умер Линух. После перестановки Линуха, установки pppoe и сквида перестало работать FTP и ICQ.
Проверка на вшивость
/sbin/iptables -t nat -A POSTROUTING -s 192.168.48.0/24 -j MASQUERADE
не прошла.
Вчем засада не пойму.
Для ICQ были такие правила
$IPTABLES -A FORWARD -p tcp --dport 21 -i ppp0 -s 192.168.48.248 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.48.248 --dport 21 -j MASQUERADE
$IPTABLES -A FORWARD -p tcp --sport 21 -i ppp0 -s 192.168.48.248 -m state --state ESTABLISHED,RELATED -j ACCEPT
На POSTROUTING пакеты попадают, а дальне облом.
"FTP через SQUID"
Отправлено crash , 25-Янв-04 06:50 
>Я в работе с Линуксом новичек так что прошу не издеваться. У
>меня есть брандмауэр на Линуксе и естественно сеть. На Линуксе стоит
>Сквид. Когда лезу на любой фтр броузер сначала долго думает, а
>потом говорит что такой папки не существует и привет. Хотя на
>эти же фтп спокойно можно залезть с линукса где инет на
>прямую. Подскажите плиз в какую сторону рыть.

а может попробовать в "свойствах браузера - дополнительно" просто убрать галочку "разрешить представление для папок для узлов FTP" и перезапустить браузер.