есть выделенный канал. За каждое подключение просят по 15$, мы сообразили подключить 2 компьютера в тихую от провайдера через какой нить дешевенький компьютер. За основу взяли 300MHz, какой то допотопный, ОС ASPLinux 9.0 настроили нат. Во второй интерфейс сунули хаб. И засветились лампочки, и заработал NAT, и в веселом IE забегало все. Но вот проблпема, которую я немоу понять и решить никак. На компьютерах работает ВСЁ кроме адресов начинающих на ftp
ftp.asplinux.ru
ftp.redhat.com
даже элементарные ftp у обычных пользователей и то не открывает, а пишет такое:
когда лезишь на ftp.microsoft.com
200 Type set to A.
500 Invalid PORT command.
500 'LPRT 6,16,0,0,0,0,0,0,0,0,67,0,0,0,0,0,215,96,2,4,237': Command not understood

Когда на ftp.asplinux.ru
Анонимный вход на этот сервер невозможен, либо адрес электронной почты небыл принят(просят ввести пароль и лагин)
Анологично с ftp.redhat.com

Но если сделать ssh соединение с сервером который нас маскирует, и командуя с него, можно без особых проблем командой
ftp
o
ftp.microsoft.com
Anonymous
xXx@yandex.ru

получить фтп.

У меня только догадки, что фтп сервер что то в ответ посылает клиенту, а NATу это не нравится....
Помагите, в чем загвоздка ?

Что-то лишнее NAT режет :(

100%
Модеры перенесите эту тему в "безопасность", там должна найти ответ, так как этот вопрос не совсем конкретно подходит к  LINUX

А как настроен ipchains не в смысле NAT, а в смысле брандмауэра?
Есть ли в цепочке forward правило, согласно которому пропускать пакеты соединений FTP?

ifconfig eth0 hw ether 000461D78315
ifconfig eth0 10.105.6.104 netmask 255.255.254.0
route add default gw 10.105.7.193
ifconfig eth1 128.1.1.1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

Все что написанно в загрузке у машины, фаервала нету...
Простите мою глупость....

А это что :)
а наверное политика по-умолчанию всё резать.

ruslandh Но http - соединения ведь пропускает? Или у iptables есть какие-нить правила по умолчанию :confused:

А чем iptables лучше ipchains?


Добавлено:

По умолчанию в смысле например http пропускать, а все остальное резать

Diesel
Лучше, понятие относительное (больше возможностей и т.п.), просто с  ядром 2.4.x  ipchains почти не работает.


Добавлено:

Посмотрите iptables --list, iptables-save.

# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


# iptables-save
# Generated by iptables-save v1.2.7a on Mon Mar 15 07:58:13 2004
*filter
:INPUT ACCEPT [221:12232]
:FORWARD ACCEPT [1538:356635]
:OUTPUT ACCEPT [120:12620]
COMMIT
# Completed on Mon Mar 15 07:58:13 2004
# Generated by iptables-save v1.2.7a on Mon Mar 15 07:58:13 2004
*nat
:PREROUTING ACCEPT [675:87715]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:69]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Mar 15 07:58:13 2004

Да, похоже что iptables непричём. А как у Вас организован DNS ?

DNS server на машине, который выполняет маскарад, вообще не стоит, все машины в сети обращяются к машинам провайдера этой сети. Вообще днс работает 100% ведь эксплорер бегает.

ради принципа пропинговал asplinux.ru и при заходе на фтп писал не имя днс а айпи, минуя все разрешения имя в ИП
безполезно

а может надо в iptables поднять модуль поддержки ftp (CONFIG_IP_NF_FTP) ?

я за линуксом очень мало, скажу сколько я за ним просидел, будут сметятся.
А как включить ??

modprobe ip_nat_ftp
http://www.linuxshare.ru/docs/securi...MPLEXPROTOCOLS

modprobe ip_nat_ftp
ну я как бы вписал команду, все на том же месте и осталось, теперь читать читать читать маны.....
таже самая картина блин...

Добавлено:

вердикт от разработчиков asplinux
<_Az_> ASP_3709: включи RELATED пакеты
<_Az_> или пусть они в пассивном режиме ходят

Я читать howto po iptables, возможно я и пойму что нужно сделать, но если кто понял что мне хотели сказать переведите на юзерский язык :)

It's not a bug, it's a future :)
все так и должно быть. А хотите фокус? Идите на ftp FAR-ом, предварительно нажав "passive mode"
man ftp одним словом ;)

ходил я и пассивным и активным, недоходит блин, даже в експорере ставил в настройках пасивный режим ФТП. БеСпОлЕзНо.......

увожаемый ruslandh
после команды modprobe ip_nat_ftp
все заработало, просто во время проверки ftp.asplinux.ru рухнул, я только что все проверил на ftp.microsoft.com. Огромное спасибо.

:)

Когда конфигурируешь iptables, не забывай что FTP на самом деле использует два порта - 21 для данных и 20 для команд пользователя.

И протоколы udp & tcp...

Guest
Bugs
Уже знал, и давно, не знаю чем пассивный режим фтп отличяется от нормального

Простите если я написал не в эту тему, все же я считаю что это по теме.
еще раз выражаю благодарность ruslandh за его подсказку, спасибо.
Появилась проблема.
Теперь через NAT непошел warcraftIII, искать ip_nat_WCIII я думаю глупо, да и стоит ли это делать, если завтро люди захотят еще в чего нить поиграть. Проблема как я понял стоит таже, пакеты, возвращенные в ответ, удаляет нат т.к. он не знает что это такое.. Есть ли какой нить уневерсальный метод лечения данной проблемы, может кто сталкивался с этим ?


[s]Исправлено: xamelion, 2:25 29-03-2004[/s]