IPTABLES (выход на FTP-серверы в обход SQUID) (обойти проксю и выйти на 21 порт.)

[kostya_bsd_2005]

Всем привет. Есть такая задача.

на тачке стоит squid + iptables.

Клиент из внутренней сети, чтобы выйти во внешнюю, указывет параметры настроек прокси.
Вот.

Мне требуется для определённого Ip-шника сделать так, чтобы с него можно было выходить на ftp-серверы напрямую(в обход прокси), т.е. не указывая настроек в браузере.
Подскажить в сторону какой цепочке смотреть в iptables.

делал вот так

$iptables -t nat -A postrouting -o $ip(внешний) -s 192.168.0.1(клиент) -p tcp --dport 21 ACCEPT..не катит..

Спасибо заранее.

[Tokra]

Всем привет. Есть такая задача.

на тачке стоит squid + iptables.

Клиент из внутренней сети, чтобы выйти во внешнюю, указывет параметры настроек прокси.
Вот.

Мне требуется для определённого Ip-шника сделать так, чтобы с него можно было выходить на ftp-серверы напрямую(в обход прокси), т.е. не указывая настроек в браузере.
Подскажить в сторону какой цепочке смотреть в iptables.

делал вот так

$iptables -t nat -A postrouting -o $ip(внешний) -s 192.168.0.1(клиент) -p tcp --dport 21 ACCEPT..не катит..

Спасибо заранее.

попробуй так:
iptables -t nat -A POSTROUTING -s 192.168.0.1(клиент) -p tcp --dport 21 -j SNAT --to-source ip-внешнего канала.

[Wizard]

Мне требуется для определённого Ip-шника сделать так, чтобы с него можно было выходить на ftp-серверы напрямую(в обход прокси), т.е. не указывая настроек в браузере.
Подскажить в сторону какой цепочке смотреть в iptables.

делал вот так

$iptables -t nat -A postrouting -o $ip(внешний) -s 192.168.0.1(клиент) -p tcp --dport 21 ACCEPT..не катит..

Ну во-первых, NAT включается совсем не так...
Примерно так:
iptables -t nat -A POSTROUTING -s 192.168.0.1(клиент) -p tcp --dport 21 -j SNAT --to-source $ip(внешний)
А во-вторых, чтобы катило, надо сделать
modprobe ip_nat_ftp

Кроме того, не забыть разрешить пересылку пакетов между интерфейсами (forwarding):
sysctl -w net/ipv4/ip_forward=1
или просто
echo 1 > /proc/sys/net/ipv4/ip_forward

[Tokra]

А во-вторых, чтобы катило, надо сделать
modprobe ip_nat_ftp

Кроме того, не забыть разрешить пересылку пакетов между интерфейсами (forwarding):
sysctl -w net/ipv4/ip_forward=1
или просто
echo 1 > /proc/sys/net/ipv4/ip_forward

Я предпологал, что это все уже включено. спасибо, что заметил опечатку. B)

[kostya_bsd_2005]

А во-вторых, чтобы катило, надо сделать
modprobe ip_nat_ftp

Кроме того, не забыть разрешить пересылку пакетов между интерфейсами (forwarding):
sysctl -w net/ipv4/ip_forward=1
или просто
echo 1 > /proc/sys/net/ipv4/ip_forward

Я предпологал, что это все уже включено. спасибо, что заметил опечатку. B)

предполагал верно. всем спасибо большое. всё работает.