Re: FTP-сервер на нестандартном порту: клиент за SNATом, сервер за DNATом

To: debian-russian@lists.debian.org
Subject: Re: FTP-сервер на нестандартном порту: клиент за SNATом, сервер за DNATом
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Wed, 12 Nov 2008 11:18:35 +0200
Message-id: <[🔎] 1226481515.6370.8.camel@casper.meteor.dp.ua>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 1226419020.16116.29.camel@casper.meteor.dp.ua>
References: <[🔎] 1226404455.16116.5.camel@casper.meteor.dp.ua> <[🔎] 49199826.2020009@gctrials.com> <[🔎] 1226419020.16116.29.camel@casper.meteor.dp.ua>

В Вто, 11/11/2008 в 17:57 +0200, Покотиленко Костик пишет:
> В Вто, 11/11/2008 в 17:35 +0300, Alexey Lobanov пишет:
> > А не надёжнее ли запустить проксю прикладного уровня? Без всяких натов.
> > 
> > at-get install jftpgw, и разнести демонов по портам.
> > 
> > По моему опыту, работать через FTP proxy после элементарного вразумления
> > умеют все вменяемые клиенты. В первый раз я это делал для какой-то очень
> > пропиетарной программы, передающей формы со сканера прямо на сервер
> > обработки.
> 
> Не думаю, что каждый раз объяснять клиенту как настроить прокси в его
> клиенте проще чем сказать "если не работает - пользуйтесь пассивным
> режимом" :/

Помогли ребята из netfilter@vger.kernel.org, сам себе и отвечу для
полноту треда.

Модули ip_conntrack_ftp и ip_nat_ftp сбивал с толку маскарад
FTP-сервера, а именно опция:

<VirtualHost yyy.yyy.yyy.yyy>
   ...
   MasqueradeAddress xxx,xxx,xxx,xxx
   ...
</VirtualHost>

proftpd, где yyy.yyy.yyy.yyy: внутренний IP, xxx,xxx,xxx,xxx: внешний IP
шлюза.

Модули ожидали внутренний IP команды PORT, а видели внешний и считали
что всё и без них в порядке.

Так что, обошёлся без лишних сущностей, что радует.

> > 11.11.2008 14:54, Покотиленко Костик пишет:
> > 
> > > Собственно сабж, один FTP-сервер живёт на 21м порту, другой (виртуалхост
> > > того же proftpd) на 3421. Оба маскарадятся внешним адресом
> > > шлюза/файрвола/ната.
> > > 
> > > Если соединяться клиентом за своим натом естественно ни активный ни
> > > пассивный режим на оба порта не работали.
> > > 
> > > На шлюзе вставил модули:
> > > ip_conntrack_ftp ports=21,3421
> > > ip_nat_ftp ports=21,3421
> > > 
> > > Теперь клиент за своим снатом может соединиться в пассивном режиме на
> > > 21й порт, а на 3421й не может. Вот собственно и проблема, которую
> > > хочется решить.
> > > 
> > > Дело судя по всему дело в ip_conntrack_ftp и/или ip_nat_ftp, которые не
> > > хотят прослушивать нестандартные порты.
> > > 
> > > На шлюзе: Debian etch, ядро штатное 2.6.18 + некоторые патчи.
> > > На FTP-сервере: Debian etch, proftpd.
> > > 
> > > Кто-нибудь имел подобные грабли? Гугл говорить, что так должно работать.
> > > 
> > 
> > 
> -- 
> Покотиленко Костик <casper@meteor.dp.ua>
> 
> 
-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

References:
- FTP-сервер на нестандартном порту: клиент за SNATом, сервер за DNATом
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: FTP-сервер на нестандартном порту: клиент за SNATом, сервер за DNATом
  - From: Alexey Lobanov <A.Lobanov@gctrials.com>
- Re: FTP-сервер на нестандартном порту: клиент за SNATом, сервер за DNATом
  - From: Покотиленко Костик <casper@meteor.dp.ua>

Prev by Date: Re: FTP-сервер на нестандартном порту: клиент за SNATом, сервер за DNATом
Next by Date: Re: swfdec 0.8 in lenny
Previous by thread: Re: FTP-сервер на нестандартном порту: клиент за SNATом, сервер за DNATом
Next by thread: Проблема с интернетом
Index(es):
- Date
- Thread