Изпечатай

[pr0fessor]

здравейте, имам същия проблем. значи правилата ca:
rc.local :

# /etc/rc.d/rc.local:  Local system initialization script.
ifconfig lo 127.0.0.1 netmask 255.255.255.0
ifconfig eth1 10.0.0.250 netmask 255.255.255.0 up
ifconfig eth0 83.71.28.39 netmask 255.255.255.128 up
route add default gw 83.71.28.1
echo "nameserver 83.71.0.1" > /etc/resolv.conf
echo "nameserver 83.71.1.1" >> /etc/resolv.conf
#simple traffic counter:
vnstat -u -i eth1
vnstatd -d
#dnsmasq:
/usr/local/sbin/dnsmasq
#squid proxy:
squid -DF
iptables -F
iptables -F -t nat
# http://www.aha.bg 85.14.21.152 bypass squid proxy:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d 85.14.21.152 -j RETURN
# bgwan.iptv.bg 77.71.0.50 bypass squid proxy:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d 77.71.0.50 -j RETURN
#proxy prenaso4wane otwyn za zelen hajwer:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 31280 -j DNAT --to 10.0.0.250:31281
#transparent proxy - prenaso4wane port 80 kym proxy port 31280:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 10.0.0.250:31280
iptables -t nat -A POSTROUTING -s 10.0.0.100 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.134 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.135 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.138 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.254 -j MASQUERADE
#za torenti i drugi:
iptables -t nat -A PREROUTING -p tcp --dport 10000:10010 -j DNAT --to-destination 10.0.0.100
iptables -t nat -A PREROUTING -p tcp --dport 13400:13410 -j DNAT --to-destination 10.0.0.134
iptables -t nat -A PREROUTING -p tcp --dport 13500:13510 -j DNAT --to-destination 10.0.0.135
iptables -t nat -A PREROUTING -p tcp --dport 13800:13810 -j DNAT --to-destination 10.0.0.138
iptables -t nat -A PREROUTING -p tcp --dport 25400:25410 -j DNAT --to-destination 10.0.0.254
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.0.0.135

(там съм си направил правилата за по лесен бекъп, отделно че рутера има само цд-ром...)
пренасочването на торентите бачка ама на фтп-то само от вътре:
ftp://10.0.0.135  влизам без проблем, от вънка пита за име парола (ако направя фтп-то да се влиза с име и парола и до там: грешка 425 unable to open a socket for data transfer)
а отвънка тествам от друг интернет и от http://www.g6ftpserver.com/ftptest :
[quote* About to connect() to 83.71.28.39 port 21
* Trying 83.71.28.39... connected
* Connected to 83.71.28.39 (83.71.28.39) port 21
< 220-SlimFTPd 3.181, by WhitSoft Development (http://www.whitsoftdev.com)
< 220-You are connecting from 87.98.200.119:4241.
< 220 Proceed with login.

> USER anonymous
< 230 User "anonymous" logged in.

> PWD
< 257 "/" is current directory.
* Entry path is '/'

> CLNT Testing from http://www.g6ftpserver.com/ftptest from IP 83.71.28.39
< 500 Syntax error, command "CLNT" unrecognized.
* QUOT command failed with 500
* Connection #0 to host 83.71.28.39 left intact

* Closing connection #0[/quote]
значи като направя проверка на портовете - са отворени
http://www.utorrent.com:16000/testport?port=21 - показва го отворен като пусна фтп-то иначе си е затворен. за торентите/емуле нямам проблем...
ето лог и от фтп-то:

[14.11.2009 г. 20:20:24] -------------------------------------------------------------------------------
[14.11.2009 г. 20:20:24] SlimFTPd 3.181, by WhitSoft Development (http://www.whitsoftdev.com)
[14.11.2009 г. 20:20:24] SlimFTPd is starting.
[14.11.2009 г. 20:20:24] Executing "SlimFTPd.conf"...
[14.11.2009 г. 20:20:24] Configuration script parsed successfully.
[14.11.2009 г. 20:20:24] Waiting for incoming connections...
[14.11.2009 г. 20:20:31] [180] Incoming connection from 87.98.200.119:3702.
[14.11.2009 г. 20:20:31] [180] User "anonymous" logged in.
[14.11.2009 г. 20:20:32] [180] Connection closed.

eth0, nameserver, gateway съм ги променил за сигурност...
благодаря предварително

[neter]

Пренасочи и порт 20, след което седни да почетеш за разликата между FTP Active Connections и FTP Passive Connections. Явно е, че ти използваш първите в FTP клиента си

[pr0fessor]

ами аз четох, даже пуснах фтп-то на порт от горните 13505 - и фтп-то трябва да си отвори и 13504 ама резултата е същия.. сега го направих и за 20:21 порт - никаква разлика. четох и за активното фтп обаче не ми е ясно как да накарам клиентите да отварят портове от отделен рейндж (което е за пасифно фтп).
четох тука: http://www.ncftp.com/ncftpd/doc/misc/ftp_and_firewalls.html за активните и пасивни конекции.
iptables -t nat -L вади това:
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
RETURN     tcp  --  anywhere             aha.bg              tcp dpt:http
RETURN     tcp  --  anywhere             ip-50-0-71-77.bgwan.com tcp dpt:http
DNAT       tcp  --  anywhere             anywhere            tcp dpt:31280 to:10.0.0.250:31281
DNAT       tcp  --  anywhere             anywhere            tcp dpt:http to:10.0.0.250:31280
DNAT       tcp  --  anywhere             anywhere            tcp dpts:10000:10010 to:10.0.0.100
DNAT       tcp  --  anywhere             anywhere            tcp dpts:13400:13410 to:10.0.0.134
DNAT       tcp  --  anywhere             anywhere            tcp dpts:13500:13510 to:10.0.0.135
DNAT       tcp  --  anywhere             anywhere            tcp dpts:13800:13810 to:10.0.0.138
DNAT       tcp  --  anywhere             anywhere            tcp dpts:25400:25410 to:10.0.0.254
DNAT       tcp  --  anywhere             anywhere            tcp dpts:ftp-data:ftp to:10.0.0.135

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.0.0.100           anywhere           
MASQUERADE  all  --  10.0.0.134           anywhere           
MASQUERADE  all  --  10.0.0.135           anywhere           
MASQUERADE  all  --  10.0.0.138           anywhere           
MASQUERADE  all  --  10.0.0.254           anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

iptables -L вади това:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

странното обаче е че с някои фтп клиени влизам отвътре като подам заявка към външното ip (с windows-кото фтп и със fireftp - плугин към файерфокс, а със самия файверфокс не влизам...) и от вънка като подам заявка - от нета на съседа (със съседа сме локална мрежа неговия gw e 10.0.0.254 с сървър на бтк, моя 10.0.0.250 на друг доставчик) не влизам...

[Acho]

Здравейте колеги. Аз на моя Slackware сървър съм пренасочил само 20 и 21 порт (нищо друго) към вътрешната машина, на която е ftp-то ми (също със Slackware и желязно работещ proftpd). А там съм ОТВОРИЛ съответно само тях, 20-ти и 21-ви. И си се конектва винаги, трансферите хукват веднага. И ОТВЪН, и от локалната ми мрежа. Но когато в началото правя проби, дали ще работи като хората, никога не ползвам някакъв browser, а само с ftp клиент (направо конзолния ftp на Linux или Windows-кия в Command Prompt-а). Нито му мисля, аджеба ACTIVE или PASSIVE ще е конекцията. Клиента се оправя сам и се конектва на момента. А и wget-а с операнди отзад също си работи и тегли.

Поздрави и успех.

[pr0fessor]

реших проблема с пасивно фтп, на което мога да укажа порт рейндж и пренасочих пасивните портове, отделно указах на фтп сървъра какво е външното ип на рутера... filezilla има такива опции за настройване, докато slimftpd няма...