|
|
 | NAT - kan de virkelig passe ?
Fra : Brian Møller |
Dato : 23-08-01 22:08 |
|
Hejsa
Jeg har 3 maskiner stående her i mit hjem.
1 linux-box som har 2 netkort hvor eth0 (ppp0) er koblet til internet, hvor
jeg har en dynamisk ip. Derudover leger den dhcp/dns - server for eventuelle
gæster. Det andet netkort (eth1) i maskinen har ip'en 192.168.0.1
1 win 2k. adv. server som kører 2 ftp'er på 21 og 4000. Denne maskine har ip
192.168.0.2
1 win98 maskine. Som har ip 192.168.0.3
Begge windows maskiners ip er fastlåst til deres mac-adresse.
Problemet er at jeg ikke kan få kontakt med ftp-serveren fra min win98
maskine efter jeg har kørt følgende 8 kommandoer:
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -t nat -A POSTROUTING -o ppp0 - j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p upd -m upd -ddport 21 -j
DNAT --to-destination 192.168.0.2
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -ddport 21 -j
DNAT --to-destination 192.168.0.2
iptables -t nat -A PREROUTING -i eth1 -p upd -m upd -ddport 4000 -j
DNAT --to-destination 192.168.0.2
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -ddport 4000 -j
DNAT --to-destination 192.168.0.2
Dette skulle umiddelbart sørge for at de brugere der er af min ftp kan komme
ind; men det kan de ikke rigtigt. Nogle kan og det er heller ikke alle typer
programmer der kan komme ind. Lige meget om der er moden er PASV eller PORT.
Programmerne der har været prøvet er: Flashfxp, leechftp, cuteftp pro og så
windows commander.
Et anden problem jeg har er at jeg kan ikke selv komme ind på min ftp fra
min win98 maskine. Skyldes dette nogle af ovenstående kommandoer eller er
der bare sket eller andet som jeg ikke kender til eller lign?
På forhånd tak.
Mvh
Brian Møller
| |
 Rasmus Bøg Hansen (24-08-2001)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 24-08-01 00:17 |
|
| |
Brian Møller (24-08-2001)
| Kommentar
Fra : Brian Møller |
Dato : 24-08-01 07:18 |
|
----- Original Message -----
From: "Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk>
Newsgroups: dk.edb.system.unix
Sent: Friday, August 24, 2001 1:16 AM
Subject: Re: NAT - kan de virkelig passe ?
> On Thu, 23 Aug 2001, Brian Møller wrote:
>
> > 1 linux-box som har 2 netkort hvor eth0 (ppp0) er koblet til internet,
hvor
>
> eth0 == ppp0??? Du bliver nødt til at vide om den hedder ppp0 eller
> eth0.
Den kører på ppp0, for det er det interface som får min eksterne ip.
>
> > jeg har en dynamisk ip. Derudover leger den dhcp/dns - server for
eventuelle
> > gæster. Det andet netkort (eth1) i maskinen har ip'en 192.168.0.1
> > 1 win 2k. adv. server som kører 2 ftp'er på 21 og 4000. Denne maskine
har ip
> > 192.168.0.2
> > 1 win98 maskine. Som har ip 192.168.0.3
> >
> > Begge windows maskiners ip er fastlåst til deres mac-adresse.
> >
> > Problemet er at jeg ikke kan få kontakt med ftp-serveren fra min win98
> > maskine efter jeg har kørt følgende 8 kommandoer:
>
> Eftersom at trafik mellem win98 og win2k ikke gå gennem din
> router/firewall kan det jo ikke være dine firewall-regler, der er
> problemet. Bruger du IP eller maskinnavn, når du forsøger at forbinde?
> Kører ftp-server-tjenesten? Kan du ftp'e lokalt fra win2k maskinen?
Jeg genstartede alle maskiner på min netværk, så virkede det. Her internt
kører bruger jeg ftp på ip.
> > iptables -t nat -A POSTROUTING -o ppp0 - j MASQUERADE
> Stadig sikker på at det er ppp0 og ikke eth0?
Jep :)
> > iptables -t nat -A PREROUTING -i eth1 -p upd -m upd -ddport 21 -j
> > DNAT --to-destination 192.168.0.2
>
> Det hedder udp (og ikke upd) - og --dport i stedet for -ddport.
> Hvad skal du forøvrigt med 21/udp? FTP bruger kun TCP.
Ingen på kan komme på min server eller i det mindste bare forsøge noget, som
kan ses i loggen, hvis ikke både tcp/udp bliver videresendt til 192.168.0.2
> Alle de ovenstående regler sikrer at lokale brugere bliver
> videredirigeret til din ftp-server, når de forsøger at kontakte
> ftp-servere ude i verden - og det er vel næppe det, du vil?
Ikke rigtigt :) Det ville være noget videre dumt !
> Du skal DNAT'e pakker fra internettet (dvs. som kommer ind på ppp0 eller
> eth0) i stedet for: '-i eth0' eller '-i ppp0' i stedet for '-i eth1'.
Så det skulle være en noget der ligner dette i stedet for: ???
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --ddport 4000 -j
DNAT --to-destination 192.168.0.2
> Som sagt tyder det på, at din ftp-server slet ikke fungerer... Prøv at
> ftp'e med IP-adressen og ikke maskinnavnet.
Det har jeg så løst nu ved en reboot. Kan godt være at jeg have rodet lidt
for meget.
Mvh
Brian
| |
Jørn Hundebøll (24-08-2001)
| Kommentar
Fra : Jørn Hundebøll |
Dato : 24-08-01 10:14 |
|
Rasmus Bøg Hansen wrote:
>
> Hvad skal du forøvrigt med 21/udp? FTP bruger kun TCP.
>
>
> Rasmus
>
På http://www.iana.org/assignments/port-numbers under ftp er udp listet:
ftp-data 20/tcp File Transfer [Default Data]
ftp-data 20/udp File Transfer [Default Data]
ftp 21/tcp File Transfer [Control]
ftp 21/udp File Transfer [Control]
Jeg ved ikke hvad der er rigtigt - kan det afhænge af serveren eller clientens
opsætning ?
Jørn
| |
 Bjørn Connolly (24-08-2001)
| Kommentar
Fra : Bjørn Connolly |
Dato : 24-08-01 10:23 |
|
On Fri, 24 Aug 2001 11:13:32 +0200, Jørn Hundebøll wrote:
>> Hvad skal du forøvrigt med 21/udp? FTP bruger kun TCP.
> På http://www.iana.org/assignments/port-numbers under ftp er udp listet:
>
> ftp-data 20/tcp File Transfer [Default Data]
> ftp-data 20/udp File Transfer [Default Data]
> ftp 21/tcp File Transfer [Control]
> ftp 21/udp File Transfer [Control]
>
> Jeg ved ikke hvad der er rigtigt - kan det afhænge af serveren eller clientens
> opsætning ?
IANA definerer næsten altid både UDP/TCP for en protokol, det betyder
ikke at protokollen bruger UDP.
Der bliver ikke brugt UDP i en FTP forbindelse.
--
Bjørn Connolly
Disclaimer at < http://www.vof.dk/concorp/disclaimer.html>
It is easier to change the specification to fit the program than vice versa.
| |
Rasmus Bøg Hansen (24-08-2001)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 24-08-01 07:41 |
|
| |
Brian Møller (24-08-2001)
| Kommentar
Fra : Brian Møller |
Dato : 24-08-01 08:00 |
|
Hejsa
> > Ingen på kan komme på min server eller i det mindste bare forsøge noget,
som
> > kan ses i loggen, hvis ikke både tcp/udp bliver videresendt til
192.168.0.2
> Jeg har meget svært ved at forestille mig, at du ikke kan klare dig uden
> UDP - det fungerer uden problemer her.
Jeg bliver nødt til at forsøge. Har dog ikke den store lyst til at skulle
genstarte linux-boxen igen. Hvordan resetter man alle alle ting man har sat
iptables til at køre?
Mvh
Brian
| |
Bjørn Connolly (24-08-2001)
| Kommentar
Fra : Bjørn Connolly |
Dato : 24-08-01 10:14 |
|
On Fri, 24 Aug 2001 08:59:46 +0200, Brian Møller wrote:
> Jeg bliver nødt til at forsøge. Har dog ikke den store lyst til at skulle
> genstarte linux-boxen igen. Hvordan resetter man alle alle ting man har sat
> iptables til at køre?
Hvis det bare er NAT tabellen der skal resettes burde det være nok at
køre;
#iptables -t nat -F
--
Bjørn Connolly
Disclaimer at < http://www.vof.dk/concorp/disclaimer.html>
It is easier to change the specification to fit the program than vice versa.
| |
Rasmus Bøg Hansen (24-08-2001)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 24-08-01 19:19 |
|
| |
|
|