iptables e server FTP in DMZ
ciao a tutti,
ho un problema di routing/firewall...
situazione: ho una macchina debian che fa da router/firewall. Tale
macchina ha 2 interfacce WAN e una DMZ.
devo far passare il traffico ftp dalla wan secondaria WAN2 (non quella
del default gateway) al server ftp in DMZ.
ho caricato i 2 moduli del kernel che gestiscono il nat e il connection
track del traffico ftp e rediretto in prerouting il le porte ftp e
ftp-data sul server e aperto il forwarding di conseguenza.
inoltre ho dovuto usare mangle per marcare i pacchetti provenienti dalla
dmz (e con porte ftp e ftp-data) per redirigerli sulla WAN2, altrimenti
uscivano dal default gateway e le connessione non si stabiliva.
in questo modo riesco a connettermi e a fare l'autenticazione.
quando però faccio lancio dir il client mi si blocca su
227 Entering Passive Mode ...
poichè evidentemente non passavano i pacchetti dati (aventi la porta
negoziata).
a questo punto ho dovuto impostare proftpd in modo da usare in passive
mode le porte in un certo range e tale range l'ho aggiunto al mark per
fare uscire i pacchetti dall'interfaccia corretta.
domande:
- possibile che devo marcare i pacchetti? se i pacchetti sono di
risposta ad altri entrati da un'interfaccia, perchè il router non usa la
stessa interfaccia per farli uscire?
- se lo stesso servizio in dmz lo volessi rendere disponibile anche
sull'altra interfaccia il mark non lo potrei usare, come potrei fare?
inoltre ho dei problemi se qualche altro servizio usa il range di porte
del server ftp poichè i pacchetti verrebbero sempre reinstradati sulla WAN2.
scusate per la "lungaggine" della descrizione..
Grazie a tutti,
Fabio
--
Dott. Fabio Marcone
2T srl
Telefono +39 - 0871- 540154
Fax +39 - 0871- 571594
Email fabio.marcone(AT)duet.it
Indirizzo Viale B. Croce 573
66013 Chieti Scalo (CH)
GNU/Linux registered user #400424
Reply to: