Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: проброс FTP из одной локалки в другую  (Прочитано 1480 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн DDDstart

  • Автор темы
  • Участник
  • *
  • Сообщений: 197
  • Linux создан для сети, как птица для полета
    • Просмотр профиля
Здравствуйте.
Есть сервак
eth0 - инет IP=x.x.x.x
eth1 - локалка IP=192.168.0.1
eth2 - локалка IP=10.65.0.25
Нужно дать доступ из сети 192.168.0.0 к FTP серверу, находящемуся в сети 10.65.0.0 (ip сервера 10.65.0.20).

Я решил эту проблему, прописав SNAT в POSTROUTING и теперь если из сети 192.168.0.0 набираю "ftp:\\10.65.0.25", то все прекрасно работает.

Но. Все дело в том, что никто не должен видеть, что сеть 10.65.0.0 доступна из сети 192.168.0.0 (это такая местная заморочка).
Поэтому нужно сделать проброс портов так, чтобы человек, набрав на своем компе "ftp:\\192.168.0.1" был переброшен на ftp сервер с IP=10.65.0.20.
Т.е., чтобы сетка 10.65. не светилась нигде при наборе. Как бы так сделать?
« Последнее редактирование: 04 Февраль 2011, 12:28:48 от DDDstart »
Неверующие остаются неверующими только до момента своей смерти

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: проброс FTP из одной локалки в другую
« Ответ #1 : 04 Февраль 2011, 12:57:25 »
Ну фтп прокси какбы сам напрашивается. Или DNAT. Но тогда нужно будет придумать, что делать с каналом данных ftp.

Оффлайн DDDstart

  • Автор темы
  • Участник
  • *
  • Сообщений: 197
  • Linux создан для сети, как птица для полета
    • Просмотр профиля
Re: проброс FTP из одной локалки в другую
« Ответ #2 : 04 Февраль 2011, 15:28:44 »
Пытаюсь найти приемры, но всё попадаются только для проброса порта из интернета в локалку.
А наоборот - только с использованием SNAT, но в моем случае это не то.
Почему порт форвардинг только снаружи внутрь?
У меня настроен проброс портов снаружи в локалку к машинкам с radmin - работает нормально.
Пытаюсь сделать по аналогии наружу - не получается.
Может кто-нибудь делал?
Неверующие остаются неверующими только до момента своей смерти

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: проброс FTP из одной локалки в другую
« Ответ #3 : 04 Февраль 2011, 16:34:29 »
Может кто-нибудь делал?
Делал. Работает. Нужны два правила, SNAT(MASQUERADE) и DNAT.

Оффлайн DDDstart

  • Автор темы
  • Участник
  • *
  • Сообщений: 197
  • Linux создан для сети, как птица для полета
    • Просмотр профиля
Re: проброс FTP из одной локалки в другую
« Ответ #4 : 07 Февраль 2011, 15:46:18 »
Сделал.
Теперь при обращении к ftp 192.168.0.1 осуществляется проброс к ftp 10.65.0.20
Но если из сели 192.168.0.0 выполнить обращение к ftp 10.65.0.20, то также все работает.
А нельзя ли сделать так, чтобы обращение к ftp 10.65.0.20 ни к чему не приводило?
Неверующие остаются неверующими только до момента своей смерти

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: проброс FTP из одной локалки в другую
« Ответ #5 : 07 Февраль 2011, 16:01:57 »
Попробуй так:
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -d 10.65.0.0/24 -j DROP

Оффлайн DDDstart

  • Автор темы
  • Участник
  • *
  • Сообщений: 197
  • Linux создан для сети, как птица для полета
    • Просмотр профиля
Re: проброс FTP из одной локалки в другую
« Ответ #6 : 09 Февраль 2011, 09:48:26 »
Попробуй так:
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -d 10.65.0.0/24 -j DROP
в этом случае вообще не могу попасть на ftp ни из какой сетки

Пользователь решил продолжить мысль 09 Февраль 2011, 10:14:39:
В настоящий момент iptables/nat/PREROUTING:

-p tcp --destination 192.168.0.1 --dport 20 -j DNAT --to-destination 10.65.0.20:20
-p tcp --destination 192.168.0.1 --dport 21 -j DNAT --to-destination 10.65.0.20:21

/iptables/nat/POSTROUTING: (тестовый доступ для одной машинки)

-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 20 -j SNAT --to 10.65.0.25              # Dostup k ftp://10.65.0.20
-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 21 -j SNAT --to 10.65.0.25              # Dostup k ftp://10.65.0.20
-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 60000:61000 -j SNAT --to 10.65.0.25     # Dostup k ftp://10.65.0.20

При такой конфигурации работает все так:
При обращении к ftp 192.168.0.1 осуществляется проброс к ftp 10.65.0.20
Но если из сели 192.168.0.0 выполнить обращение к ftp 10.65.0.20, то также все работает.
А нельзя ли сделать так, чтобы обращение к ftp 10.65.0.20 ни к чему не приводило?
« Последнее редактирование: 09 Февраль 2011, 10:14:39 от DDDstart »
Неверующие остаются неверующими только до момента своей смерти

 

Страница сгенерирована за 0.159 секунд. Запросов: 24.