[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: server ftp dietro firewall (mi è venuto il mal di testa!)

----- Original Message ----- 
From: "LoSpippolo" <lospippolo@email.it>
To: <debian-italian@lists.debian.org>
Sent: Wednesday, March 24, 2004 4:39 PM
Subject: Re: server ftp dietro firewall (mi è venuto il mal di testa!)


>peccato che ftp usi DUE porte, 20 e 21.
>
>questo e' il mio pezzo di firewall che gestisce l'ftp server:
>
>dove 192.168.22.36 e' l'indirizzo interno del server ftp e 81.110.80.99
>e' l'indirizzo che da fuori vedono il server
>
>intanto al boot carico
>
>insmod ip_conntrack_ftp
>insmod ip_nat_ftp
>
>iptables -t nat -A PREROUTING -p tcp --dport 20 -d 81.110.80.99 -j DNAT
>--to-destination 192.168.22.36
>iptables -t nat -A PREROUTING -p tcp --dport 21 -d 81.110.80.99 -j DNAT
>--to-destination 192.168.22.36
>iptables -A FORWARD -p tcp --dport 20 -d 192.168.22.36 -j ACCEPT
>iptables -A FORWARD -p tcp --dport 21 -d 192.168.22.36 -j ACCEPT
>iptables -A FORWARD -s 192.168.22.36 -m state --state
>ESTABLISHED,RELATED -j ACCEPT
>iptables -A FORWARD -d 192.168.22.36 -m state --state
>ESTABLISHED,RELATED -j ACCEPT
>iptables -A INPUT -s 192.168.22.36 -m state --state ESTABLISHED,RELATED
>-j ACCEPT
>
>
>a me funge, anche da gente a sua volta nattata, come gente di fastweb o
>altri utenti dietro altri firewall linux...
>LoSpippolo <lospippolo@email.it>

Ciao,
grazie per la risposta.
Io non esco su internet quindi credo che il prerouting non sia il mio
caso..o sbaglio?
Il pc ha due schede di rete...eth0(192.168.1.2/255.255.255.0) e eth1
(192.168.0.1).
Il server ftp deve essere raggiunto dalle macchine presenti in ambedue le
reti.

Provando a dare un insmod ip_conntrack_ftp ottengo quanto segue:
Using /lib/modules/2.4.18-bf2.4/kernel/net/ipv4/netfilter/ip_conntrack_ftp.o
insmod: a module named ip_conntrack_ftp already exists

Quindi significa che è già caricato??

In base a quello che mi ha detto ho provato questo:
(i commenti li ho messi ora nel msg così mi dici se ho capito bene).

iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT               # consenti il
traffico INPUT diretto alla porta 20
iptables -A INPUT -p tcp --dport 21 -j ACCEPT               # consenti il
traffico INPUT diretto alla porta 21
iptables -A FORWARD -p tcp --dport 20 -d 192.168.1.2 -j ACCEPT
#consenti il traffico verso la porta 20 con destinazione 192.168.1.2
iptables -A FORWARD -p tcp --dport 21 -d 192.168.1.2 -j ACCEPT
#consenti il traffico verso la porta 21 con destinazione 192.168.1.2
iptables -A FORWARD -s 192.168.1.2 -m state --state ESTABLISHED,RELATED -j
ACCEPT  #consenti al 192.168.1.2 di dare conferma al client
iptables -A FORWARD -d 192.168.1.2 -m state --state ESTABLISHED,RELATED -j
ACCEPT #conenti al 192.168.1.2 di accettare conferma dal client
iptables -A INPUT -s 192.168.1.2 -m state --state ESTABLISHED,RELATED -j
ACCEPT #consenti in ingresso di accettare le conferme del server...

Ho capito bene?
Comunque sia non funziona..
Quindi credo di aver capito male.

ciao :-(
Reply to: