Re: iptables e ftp attivo
Federico Di Gregorio wrote: > # modprobe ip_conntrack_ftp questo ce l'avevo già messo > # modprobe ip_nat_ftp questo no, domani provo, grazie. Lucio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: iptables e ftp attivo
Il giorno 18 settembre 2008 23.59, Lucio Crusca <[EMAIL PROTECTED]> ha scritto: > Ciao *, Ciao Luca, > > > > 500 - Invalid PORT command > > Deduco che il problema sia la regola SNAT che c'è sul NAT, che traduce > tutti > gli indirizzi della LAN in 192.168.1.254, quindi il router alice gira le > connessioni entranti dell'ftp attivo a quell'indirizzo invece che al > 10.0.0.x che ha aperto la connessione uscente sulla porta 21. se non ho capito male... stai nattando tutto sulla 21? l'ftp attivo usa essenzialmente due connessioni e due porte: la 21 per il trasferimento dati la 20 per i comandi qualcosa tipo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $IFOUT -j SNAT --to-source 192.168.1.254 come formula generica dovrebbe aiutarti Grazie, > Lucio. > spero, a parte l'ora tarda, di aver inteso il problema.. ciao windfall
Re: iptables e ftp attivo
Il giorno gio, 18/09/2008 alle 23.59 +0200, Lucio Crusca ha scritto: > Ciao *, > > ho una LAN che sta dietro ad un NAT fatto con iptables. Dopo il NAT c'è il > router di alice business con ip dinamico. In ascii-art sarebbe: > > LAN 10.0.0.0/24<->10.0.0.1 NAT 192.168.1.254<->192.168.1.1 Alice [ip din.] > > Ho bisogno che dalla LAN sia possibile usare l'FTP attivo verso internet. Se > provo ad usare l'FTP passivo funziona, se provo ad usare l'ftp attivo da > una shell sul pc che fa da NAT funziona pure, ma se provo ad usare l'ftp > attivo da una shell dentro la LAN mi risponde > > 500 - Invalid PORT command # modprobe ip_conntrack_ftp # modprobe ip_nat_ftp Così il kernel tiene traccia (conntrack) delle connessioni ftp ed associa correttamente la connessione del comando PORT alla sessione ftp corrente e fa il NAT in maniera corretto sui pacchetti in entrata (spiegazione biecamente non tecnica ma dovrebbe risultare compensibile..) federico -- Federico Di Gregorio http://people.initd.org/fog Debian GNU/Linux Developer[EMAIL PROTECTED] INIT.D Developer [EMAIL PROTECTED] Do I know what a rhetorical question is? -- Homer Simpson signature.asc Description: Questa è una parte del messaggio firmata digitalmente
iptables e ftp attivo
Ciao *, ho una LAN che sta dietro ad un NAT fatto con iptables. Dopo il NAT c'è il router di alice business con ip dinamico. In ascii-art sarebbe: LAN 10.0.0.0/24<->10.0.0.1 NAT 192.168.1.254<->192.168.1.1 Alice [ip din.] Ho bisogno che dalla LAN sia possibile usare l'FTP attivo verso internet. Se provo ad usare l'FTP passivo funziona, se provo ad usare l'ftp attivo da una shell sul pc che fa da NAT funziona pure, ma se provo ad usare l'ftp attivo da una shell dentro la LAN mi risponde 500 - Invalid PORT command Deduco che il problema sia la regola SNAT che c'è sul NAT, che traduce tutti gli indirizzi della LAN in 192.168.1.254, quindi il router alice gira le connessioni entranti dell'ftp attivo a quell'indirizzo invece che al 10.0.0.x che ha aperto la connessione uscente sulla porta 21. Sarebbe quindi compito del NAT girare a sua volta tali connessioni entranti all'inidirizzo della LAN opportuno, peccato che non ho idea di come fare... tutti gli howto che ho trovato parlano di come configurare il NAT per far funzionare un *server* ftp in entrambe le modalità, ma non ho trovato nulla per la configurazione del NAT lato client... mi aiutate? Grazie, Lucio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]