проброс FTP из одной локалки в другую

[DDDstart]

Здравствуйте.
Есть сервак
eth0 - инет IP=x.x.x.x
eth1 - локалка IP=192.168.0.1
eth2 - локалка IP=10.65.0.25
Нужно дать доступ из сети 192.168.0.0 к FTP серверу, находящемуся в сети 10.65.0.0 (ip сервера 10.65.0.20).

Я решил эту проблему, прописав SNAT в POSTROUTING и теперь если из сети 192.168.0.0 набираю "ftp:\\10.65.0.25", то все прекрасно работает.

Но. Все дело в том, что никто не должен видеть, что сеть 10.65.0.0 доступна из сети 192.168.0.0 (это такая местная заморочка).
Поэтому нужно сделать проброс портов так, чтобы человек, набрав на своем компе "ftp:\\192.168.0.1" был переброшен на ftp сервер с IP=10.65.0.20.
Т.е., чтобы сетка 10.65. не светилась нигде при наборе. Как бы так сделать?

[Mam(O)n]

Ну фтп прокси какбы сам напрашивается. Или DNAT. Но тогда нужно будет придумать, что делать с каналом данных ftp.

[DDDstart]

Пытаюсь найти приемры, но всё попадаются только для проброса порта из интернета в локалку.
А наоборот - только с использованием SNAT, но в моем случае это не то.
Почему порт форвардинг только снаружи внутрь?
У меня настроен проброс портов снаружи в локалку к машинкам с radmin - работает нормально.
Пытаюсь сделать по аналогии наружу - не получается.
Может кто-нибудь делал?

[Mam(O)n]

Может кто-нибудь делал?

Делал. Работает. Нужны два правила, SNAT(MASQUERADE) и DNAT.

[DDDstart]

Сделал.
Теперь при обращении к ftp 192.168.0.1 осуществляется проброс к ftp 10.65.0.20
Но если из сели 192.168.0.0 выполнить обращение к ftp 10.65.0.20, то также все работает.
А нельзя ли сделать так, чтобы обращение к ftp 10.65.0.20 ни к чему не приводило?

[Mam(O)n]

Попробуй так:

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -d 10.65.0.0/24 -j DROP

[DDDstart]

Попробуй так:

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -d 10.65.0.0/24 -j DROP

в этом случае вообще не могу попасть на ftp ни из какой сетки
Пользователь решил продолжить мысль 09 Февраля 2011, 10:14:39:В настоящий момент iptables/nat/PREROUTING:

-p tcp --destination 192.168.0.1 --dport 20 -j DNAT --to-destination 10.65.0.20:20
-p tcp --destination 192.168.0.1 --dport 21 -j DNAT --to-destination 10.65.0.20:21

/iptables/nat/POSTROUTING: (тестовый доступ для одной машинки)

-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 20 -j SNAT --to 10.65.0.25              # Dostup k ftp://10.65.0.20
-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 21 -j SNAT --to 10.65.0.25              # Dostup k ftp://10.65.0.20
-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 60000:61000 -j SNAT --to 10.65.0.25     # Dostup k ftp://10.65.0.20

При такой конфигурации работает все так:
При обращении к ftp 192.168.0.1 осуществляется проброс к ftp 10.65.0.20
Но если из сели 192.168.0.0 выполнить обращение к ftp 10.65.0.20, то также все работает.
А нельзя ли сделать так, чтобы обращение к ftp 10.65.0.20 ни к чему не приводило?