NAT и FTP (Проблема с подключением к FTP из локалки)

[(asper]

Ребята не смейтесь я только начинающий
Такая проблема :
не могу подсоедениться к ftp в интернете с компьютера из локалки
пишет ftp file error или что-то там port command not found точно не помню , но не подключается
Всё остальное , хотя я особо и не проверял но HTTP вроде работает.
Кидаю свой rc.firewall
К стати пытался найти в и-нете , ничего путного не нашёл ,но так понял эта проблемма существует
Помогите пожалуйста не пинайте сильно, дайте может ссылки на документацию про это
Спасибо

[7biohazard7]

Никаких файлов что-то мне видно. И маленько не понятно
где вы настраиваете фаерволл на раб.станции или на
шлюзе. А просто telnet ftpserver.com 21 не пробовали?

[(asper]

Ой простите вот
на шлюзе firewall
на раб. станции заходил
телнет не пробовал
по ftp к серверу подключается, логиница .
но после ls и dir долго думает и потом пишет "421 Timeout"

[madskull]

А про ftp протокол почитать не пробовали? Или про составления правил для iptables для ftp?
Действительно, эта "проблема" имеет место быть и в любом туториале по файрволам она раскрывается.

Да, главное. Ставьте в конце правил логирование, тогда все сами поймете.

[7biohazard7]

Очень помогает переключение в пассивный
режим. Попробуйте.

[(asper]

ну конечно легко вам говорить
читай маны и туториалы читал
Может быть для вас это и тривиально, а для меня это целая проблема, я про тот же ftp
Просто Линукс для меня не профессия скорее хобби
Занимаюсь я им всего 1.5 года (при этом очень сильно жалею о тех 5-ти что провёл с вынью)
Занимаюсь в свободное от работы время
Друзья собираются создать небольшой клуб интернет-кафе , а я типа у них сисадмином буду
всё чисто на альтруистических началах , а не с целью заработать денег
Нужен Файрвол-роутер интернет-шлюз, конечно же под линукс - вот я и занимаюсь этой темой
Как соеденить компьютеры в локалку я более-мение справился думаю получится, следующий шаг NAT и межсетевой экран. Читал туториалы всякие и просто гуглил вот написал такие правила (в файле rc.firewall.txt)
Может и параноидальные и при этом самое главное не учтено , принимаю поправки
Вот что-то я отошёл от темы...

Сейчас буду дерзать дальше

Господа если есть у кого материал на эту тему или опять таки ссылки на материал на эту тему,
прошу вас поделитесь не скупитесь !!!

Доложу о результатах будем всё логинить...

[(asper]

Ну да в passive работает
А как в Активном его заставить ?
Как решить эту проблему когда пытаешься из броузера что-то скачать , а там FTP и получаю я такое сообщение
FTP PORT command failed (пытался скачать имидж Федоры с одноимённого сайта для проверки) ???

[KiWi]

разрешить ВСЕ RELATED,ESTABLISHED коннекты -- если пакет прошёл, значит не запрещено, смысла дальнейшей фильтрации не вижу

[testlogin]

-A INPUT -s 10.2.0.0/255.255.0.0 -d 10.3.11.74 -i eth1 -p tcp -m tcp --sport 1024:65535 --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.2.0.0/255.255.0.0 -d 10.3.11.74 -i eth1 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
( 10.3.11.74) - образно говоря реал ип
10.2.0.0/255.255.0.0 - то место где сидиш ты

[(asper]

-A INPUT -s 10.2.0.0/255.255.0.0 -d 10.3.11.74 -i eth1 -p tcp -m tcp --sport 1024:65535 --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.2.0.0/255.255.0.0 -d 10.3.11.74 -i eth1 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
( 10.3.11.74) - образно говоря реал ип
10.2.0.0/255.255.0.0 - то место где сидиш ты

Секунду я не совсем понимаю
причём тут INPUT ?
Если верить переводу Iptables Tutorial то пакеты идущие в локалку не попадают в INPUT, а идут через FORWARD
На рабочей станции все политики ACCEPT других правил нет
Конфигурирую файрвол на ШЛЮЗЕ
на всякий случай попробывал добавил первыми правилами в INPUT , поигрался с -i (eth0, eth1)
как и ожидалось не помогает
Может в FORWARD нужно что-то подобное добавить ?
но разве
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
не достаточно ?

[Djon$]

-A INPUT -s 10.2.0.0/255.255.0.0 -d 10.3.11.74 -i eth1 -p tcp -m tcp --sport 1024:65535 --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.2.0.0/255.255.0.0 -d 10.3.11.74 -i eth1 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
( 10.3.11.74) - образно говоря реал ип
10.2.0.0/255.255.0.0 - то место где сидиш ты

Секунду я не совсем понимаю
причём тут INPUT ?
Если верить переводу Iptables Tutorial то пакеты идущие в локалку не попадают в INPUT, а идут через FORWARD
На рабочей станции все политики ACCEPT других правил нет
Конфигурирую файрвол на ШЛЮЗЕ
на всякий случай попробывал добавил первыми правилами в INPUT , поигрался с -i (eth0, eth1)
как и ожидалось не помогает
Может в FORWARD нужно что-то подобное добавить ?
но разве
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
не достаточно ?

Вот как написано у меня :

# ------------------------------------------------------------ ------
# FTP server (21)
# ---------------
# incoming request
#iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp --source-port $UNPRIVPORTS -d $IPADDR --destination port 21 -j ACCEPT
#iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp ! --syn \
# -s $IPADDR --source-port 21 \
# --destination-port $UNPRIVPORTS -j ACCEPT
# PORT MODE data channel responses
#iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \
# -s $IPADDR --source-port 20 \
# --destination-port $UNPRIVPORTS -j ACCEPT
#iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp ! --syn \
# --source-port $UNPRIVPORTS \
# -d $IPADDR --destination-port 20 -j ACCEPT
# PASSIVE MODE data channel responses
#iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp \
# --source-port $UNPRIVPORTS \
# -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT
#iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp ! --syn \
# -s $IPADDR --source-port $UNPRIVPORTS \
# --destination-port $UNPRIVPORTS -j ACCEPT

А вот клиент:

echo " FTP client (21)"
# --------------
# outgoing request
iptables -A OUTPUT -o $INTERNET_INTERFACE -p tcp --source-port $UNPRIVPORTS --destination-port 21 -j ACCEPT
iptables -A INPUT -i $INTERNET_INTERFACE -p tcp ! --syn --source-port 21 --destination-port $UNPRIVPORTS -j ACCEPT
# PORT mode data channel
iptables -A INPUT -i $INTERNET_INTERFACE -p tcp --source-port 20 --destination-port $UNPRIVPORTS -j ACCEPT
iptables -A OUTPUT -o $INTERNET_INTERFACE -p tcp ! --syn --source-port $UNPRIVPORTS --destination-port 20 -j ACCEPT
# ---------------
# outgoing request
iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp -s $IPADDR --source-port $UNPRIVPORTS --destination-port 21 -j ACCEPT
iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp ! --syn --source-port 21 -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT
# PORT mode data channel
iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp --source-port 20 -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT
iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp ! --syn -s $IPADDR --source-port $UNPRIVPORTS --destination-port 20 -j ACCEPT

IPADDR - локальный адрес в сети
INTERNET_INTERFACE - внешний интерфейс
EXTERNAL_INTERFACE - внутрисетевой интерфейс
UNPRIVPORTS=1024-65535
Попробуй так. Удачи.

[(asper]

Кажется до меня начинает доходить
Спасибо буду пробывать

FTP заработал , правда надо покавырять свой FORWARD chain но это я сам разберусь
А вот открыть браузером сайт и скачать via ftp (всё тот же fedora.redhat.com) при попытке загрузить имидж диска пишет "FTP PORT command failed" чтобы это могло быть ?