Автор Тема: Проброс FTP из одной локалки в другую (Прочитано 3214 раз)

DDDstart · « : 04.02.2011 12:28:32 »

Здравствуйте.
Есть сервак
breth0 - инет IP=x.x.x.x
breth1 - локалка IP=192.168.0.1
breth2 - локалка IP=10.65.0.25
Нужно дать доступ из сети 192.168.0.0 к FTP серверу, находящемуся в сети 10.65.0.0 (ip сервера 10.65.0.20).

Я решил эту проблему, прописав SNAT в POSTROUTING и теперь если из сети 192.168.0.0 набираю "ftp:\\10.65.0.25", то все прекрасно работает.

Но. Все дело в том, что никто не должен видеть, что сеть 10.65.0.0 доступна из сети 192.168.0.0 (это такая местная заморочка).
Поэтому нужно сделать проброс портов так, чтобы человек, набрав на своем компе "ftp:\\192.168.0.1" был переброшен на ftp сервер с IP=10.65.0.20.
Т.е., чтобы сетка 10.65. не светилась нигде при наборе. Как бы так сделать?

ASM16d · « **Ответ #1 :** 04.02.2011 12:30:25 »

port forwarding..

DDDstart · « **Ответ #2 :** 04.02.2011 12:41:34 »

Цитата: ASM16d от 04.02.2011 12:30:25

port forwarding..

Вы, наверное, хотели сказать postrouting?

ASM16d · « **Ответ #3 :** 04.02.2011 12:48:12 »

эм..
port forwarding позволяет сделать именно то, что Вы хотите, а именно: пишете в браузере ftp://192.168.0.1:21, тот прозрачно обращается к серверу 10.65.0.0, ответ возвращается к вам от 192.168.0.1

DDDstart · « **Ответ #4 :** 04.02.2011 12:58:43 »

это именно то что мне нужно. Но про port forwarding я ничего не слышал. Почитаю. Спасибо

ASM16d · « **Ответ #5 :** 04.02.2011 13:47:15 »

Постараюсь сегодня поближе к вечеру

DDDstart · « **Ответ #6 :** 04.02.2011 13:48:52 »

Цитата: ASM16d от 04.02.2011 13:47:15

Постараюсь сегодня поближе к вечеру

Спасибо. Я протупил - по привычке ищу примеры poStforwarding? а нужно poRtforwarding. Еще сам посмотрю

DDDstart · « **Ответ #7 :** 04.02.2011 15:19:10 »

Нет. Все примеры по port forwarding попадаются только для проброса порта из интернета в локалку.
А наоборот - только с использованием SNAT, но в моем случае это не то.
Почему порт форвардинг только снаружи внутрь?
У меня настроен проброс портов снаружи в локалку к машинкам с radmin - работает нормально.
Пытаюсь сделать по аналогии - не получается.
Может кто-нибудь делал?

DDDstart · « **Ответ #8 :** 07.02.2011 13:58:55 »

Сделал.
Теперь при обращении к ftp 192.168.0.1 осуществляется проброс к ftp 10.65.0.20
Но если из сели 192.168.0.0 выполнить обращение к ftp 10.65.0.20, то также все работает.
А нельзя ли сделать так, чтобы обращение к ftp 10.65.0.20 ни к чему не приводило?

DDDstart · « **Ответ #9 :** 09.02.2011 10:17:58 »

В настоящий момент iptables/nat/PREROUTING:

-p tcp --destination 192.168.0.1 --dport 20 -j DNAT --to-destination 10.65.0.20:20
-p tcp --destination 192.168.0.1 --dport 21 -j DNAT --to-destination 10.65.0.20:21

/iptables/nat/POSTROUTING: (тестовый доступ для одной машинки)

-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 20 -j SNAT --to 10.65.0.25 # Dostup k ftp://10.65.0.20
-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 21 -j SNAT --to 10.65.0.25 # Dostup k ftp://10.65.0.20
-s 192.168.0.253 -d 10.65.0.20 -o breth2 -p tcp --dport 60000:61000 -j SNAT --to 10.65.0.25 # Dostup k ftp://10.65.0.20

При такой конфигурации работает все так:
При обращении к ftp 192.168.0.1 осуществляется проброс к ftp 10.65.0.20
Но если из сели 192.168.0.0 выполнить обращение к ftp 10.65.0.20, то также все работает.
А нельзя ли сделать так, чтобы обращение к ftp 10.65.0.20 ни к чему не приводило?

Форум сообщества
Альт Линукс