forum.opennet.ru - "Вопрос с ГУРУ" (13)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вопрос с ГУРУ"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос с ГУРУ"
Сообщение от fantom_111 (ok) on 27-Апр-07, 17:00
Люди добрые подскажите. В Линуксе я полный новичек. Необходимо сделать что бы пользователи локальной сети имели доступ в инет но только по следующим портам: 21,80. Создал я правили: -A POSTROUTING -s X.X.X.X -j ACCEPT -A POSTROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 21,80 -j SNAT --to-source X.X.X.X И все бы хорошо, но тут высняется что нет доступа к ФТП серверам в инете, выдается сообщение ФТП-го клиента: 500 Invalid PORT command. В пассивном режиме тоже проверял, тот же результат. Порылся на форумах а там пишется что необходм открывать доступ как минимум до 1024 порта. Неужели нет никакого другого выхода.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Вопрос с ГУРУ, Nimdar, 17:15 , 27-Апр-07, (1)

Вопрос с ГУРУ, fantom_111, 17:28 , 27-Апр-07, (2)

Вопрос с ГУРУ, Nimdar, 17:42 , 27-Апр-07, (4)

Вопрос с ГУРУ, AlexF, 17:39 , 27-Апр-07, (3)

Вопрос с ГУРУ, fantom_111, 17:48 , 27-Апр-07, (5)

Вопрос с ГУРУ, AlexF, 18:13 , 27-Апр-07, (6)

Вопрос с ГУРУ, dsda, 18:29 , 27-Апр-07, (7)
Вопрос с ГУРУ, fantom_111, 21:04 , 27-Апр-07, (8)
Вопрос с ГУРУ, fantom_111, 21:16 , 27-Апр-07, (9)

Вопрос с ГУРУ, fantom_111, 10:34 , 28-Апр-07, (10)

Вопрос с ГУРУ, fantom_111, 10:51 , 28-Апр-07, (11)
Вопрос с ГУРУ, Nimdar, 10:55 , 28-Апр-07, (12)

Вопрос с ГУРУ, dsda, 03:27 , 29-Апр-07, (13)

Сообщения по теме [Сортировка по времени, UBB]

1. "Вопрос с ГУРУ"

Сообщение от Nimdar (ok) on 27-Апр-07, 17:15

http://slacksite.com/other/ftp.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вопрос с ГУРУ"

Сообщение от fantom_111 (ok) on 27-Апр-07, 17:28

>http://slacksite.com/other/ftp.html
Статья видемо полезная, но не свсем понятно как она относится к моему вопросу. Я так и не понял что нужно добавить в мою конфигурацию, что б все заработало. Добавил 1023 порт не помогло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Вопрос с ГУРУ"

Сообщение от Nimdar (ok) on 27-Апр-07, 17:42

>>http://slacksite.com/other/ftp.html
>
>Статья видемо полезная, но не свсем понятно как она относится к моему
>вопросу. Я так и не понял что нужно добавить в мою
>конфигурацию, что б все заработало. Добавил 1023 порт не помогло.
Всего навсего прочитать статью. Там даже приведены очень наглядные схемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вопрос с ГУРУ"

Сообщение от AlexF (??) on 27-Апр-07, 17:39

Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Вопрос с ГУРУ"

Сообщение от fantom_111 (ok) on 27-Апр-07, 17:48

>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>
Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так как с этим можно все таки бороться или же необходимо открывать порты с 1024 по 65535!?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Вопрос с ГУРУ"

Сообщение от AlexF (??) on 27-Апр-07, 18:13

Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
В пассивном режиме должны быть открыты удаленные порты > 1024.

>>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>>
>Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так
>как с этим можно все таки бороться или же необходимо открывать
>порты с 1024 по 65535!?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Вопрос с ГУРУ"

Сообщение от dsda on 27-Апр-07, 18:29

>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.
>
>
>>>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
>>>
>>Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так
>>как с этим можно все таки бороться или же необходимо открывать
>>порты с 1024 по 65535!?
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Вопрос с ГУРУ"

Сообщение от fantom_111 (ok) on 27-Апр-07, 21:04

>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.
Получается мне надо открыть порт 1024 на вход?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Вопрос с ГУРУ"

Сообщение от fantom_111 (ok) on 27-Апр-07, 21:16

>Ох, по ссылке, которую Вам привели выше, даже рисунки есть.
>При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024.
>В пассивном режиме должны быть открыты удаленные порты > 1024.
т.е. по идее мое правило должно выглядеть следующим образом:
-A POSTROUTING -s X.X.X.X -j ACCEPT
-A POSTROUTING -p tcp -s 192.168.0.0/24 --sport 1024 -j SNAT --to-source X.X.X.X
-A POSTROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 20,21,80 --to-source X.X.X.X
И еще просьба не пинать сильно, я ведь новичек.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Вопрос с ГУРУ"

Сообщение от fantom_111 (ok) on 28-Апр-07, 10:34

Подскажите что мне делать, желательно с примерами или хотябы ссылкой на пример.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Вопрос с ГУРУ"

Сообщение от fantom_111 (ok) on 28-Апр-07, 10:51

А будут работать эти параметры после перезапуска компьютера:
   modprobe iptable_nat
   modprobe ip_conntrack_ftp
   modprobe ip_nat_ftp
   modprobe ip_nat_irc
И если нет то что надо сделать что бы они подгружались в момент загрузки?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Вопрос с ГУРУ"

Сообщение от Nimdar (ok) on 28-Апр-07, 10:55

Ну почему ты не хочешь ВНИКНУТЬ в статью, ссылку на которую я тебе привёл? Не хочешь прочесть статью, или не можешь, или не понимаешь английского (тогда уж точно быть тебе вечным новичком), то почему ты не хочешь хотя бы попытаться ПОНЯТЬ ЧТО нарисовано на схеме? Проще уж ничего быть не может.
Если ты новичок, то с таким отношением к делу, ты никогда ничему не научишься.
Подсказка. Соединение с 20 порта инициирует СЕРВЕР, а не клиент. Дальше думай сам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Вопрос с ГУРУ"

Сообщение от dsda on 29-Апр-07, 03:27

все проще, не надо ничего открывать тебе...
есть модули ip_nat_ftp, ip_conntrack_ftp
вот нужные правила
iptables -t nat -A POSTROUTING -s $localnet -p tcp -m multiport --dports 21,80 -j SNAT --to-source $realip
iptables -A FORWARD -s $localnet -p tcp -m multiport --dports 21,80 -j ACCEPT
iptables -A FORWARD -s $localnet -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос с ГУРУ"
Сообщение от Nimdar (ok) on 27-Апр-07, 17:15
http://slacksite.com/other/ftp.html
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Вопрос с ГУРУ"
	Сообщение от fantom_111 (ok) on 27-Апр-07, 17:28
	>http://slacksite.com/other/ftp.html Статья видемо полезная, но не свсем понятно как она относится к моему вопросу. Я так и не понял что нужно добавить в мою конфигурацию, что б все заработало. Добавил 1023 порт не помогло.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Вопрос с ГУРУ"
	Сообщение от Nimdar (ok) on 27-Апр-07, 17:42
	>>http://slacksite.com/other/ftp.html > >Статья видемо полезная, но не свсем понятно как она относится к моему >вопросу. Я так и не понял что нужно добавить в мою >конфигурацию, что б все заработало. Добавил 1023 порт не помогло. Всего навсего прочитать статью. Там даже приведены очень наглядные схемы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Вопрос с ГУРУ"
Сообщение от AlexF (??) on 27-Апр-07, 17:39
Прочитайте про активный и пассивный режим ftp и Вам все станет ясно.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Вопрос с ГУРУ"
	Сообщение от fantom_111 (ok) on 27-Апр-07, 17:48
	>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно. > Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так как с этим можно все таки бороться или же необходимо открывать порты с 1024 по 65535!?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Вопрос с ГУРУ"
	Сообщение от AlexF (??) on 27-Апр-07, 18:13
	Ох, по ссылке, которую Вам привели выше, даже рисунки есть. При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024. В пассивном режиме должны быть открыты удаленные порты > 1024. >>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно. >> >Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так >как с этим можно все таки бороться или же необходимо открывать >порты с 1024 по 65535!?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Вопрос с ГУРУ"
	Сообщение от dsda on 27-Апр-07, 18:29
	>Ох, по ссылке, которую Вам привели выше, даже рисунки есть. >При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024. >В пассивном режиме должны быть открыты удаленные порты > 1024. > > >>>Прочитайте про активный и пассивный режим ftp и Вам все станет ясно. >>> >>Про то что вдаются динамические порты в диопазоне 1024-65535 я знаю. Так >>как с этим можно все таки бороться или же необходимо открывать >>порты с 1024 по 65535!? modprobe ip_nat_ftp modprobe ip_conntrack_ftp
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Вопрос с ГУРУ"
	Сообщение от fantom_111 (ok) on 27-Апр-07, 21:04
	>Ох, по ссылке, которую Вам привели выше, даже рисунки есть. >При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024. >В пассивном режиме должны быть открыты удаленные порты > 1024. Получается мне надо открыть порт 1024 на вход?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Вопрос с ГУРУ"
	Сообщение от fantom_111 (ok) on 27-Апр-07, 21:16
	>Ох, по ссылке, которую Вам привели выше, даже рисунки есть. >При активном режиме должны быть открыты удаленные порты 20 и 21, при этом надо быть готовым, что при передаче данных удаленный сервер начнет передачу данных к Вам на порт > 1024. >В пассивном режиме должны быть открыты удаленные порты > 1024. т.е. по идее мое правило должно выглядеть следующим образом: -A POSTROUTING -s X.X.X.X -j ACCEPT -A POSTROUTING -p tcp -s 192.168.0.0/24 --sport 1024 -j SNAT --to-source X.X.X.X -A POSTROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 20,21,80 --to-source X.X.X.X И еще просьба не пинать сильно, я ведь новичек.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Вопрос с ГУРУ"
	Сообщение от fantom_111 (ok) on 28-Апр-07, 10:34
	Подскажите что мне делать, желательно с примерами или хотябы ссылкой на пример.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Вопрос с ГУРУ"
	Сообщение от fantom_111 (ok) on 28-Апр-07, 10:51
	А будут работать эти параметры после перезапуска компьютера: modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_nat_irc И если нет то что надо сделать что бы они подгружались в момент загрузки?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Вопрос с ГУРУ"
	Сообщение от Nimdar (ok) on 28-Апр-07, 10:55
	Ну почему ты не хочешь ВНИКНУТЬ в статью, ссылку на которую я тебе привёл? Не хочешь прочесть статью, или не можешь, или не понимаешь английского (тогда уж точно быть тебе вечным новичком), то почему ты не хочешь хотя бы попытаться ПОНЯТЬ ЧТО нарисовано на схеме? Проще уж ничего быть не может. Если ты новичок, то с таким отношением к делу, ты никогда ничему не научишься. Подсказка. Соединение с 20 порта инициирует СЕРВЕР, а не клиент. Дальше думай сам.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Вопрос с ГУРУ"
	Сообщение от dsda on 29-Апр-07, 03:27
	все проще, не надо ничего открывать тебе... есть модули ip_nat_ftp, ip_conntrack_ftp вот нужные правила iptables -t nat -A POSTROUTING -s $localnet -p tcp -m multiport --dports 21,80 -j SNAT --to-source $realip iptables -A FORWARD -s $localnet -p tcp -m multiport --dports 21,80 -j ACCEPT iptables -A FORWARD -s $localnet -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]