Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

ftp iza NAT-a i aktivni mod

[es] :: Linux/UNIX serveri i servisi :: ftp iza NAT-a i aktivni mod

[ Pregleda: 3686 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon ftp iza NAT-a i aktivni mod27.07.2005. u 08:14 - pre 227 meseci
Da li moze da se ostvari aktivna FTP konekcija na FTP server sa nekim klijentom koji se nalazi iza NAT-a?
Nesto sam gledao po netu, ali nisam nasao bas najjasnije odgovore tako mi se cini da ne moze?
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

madamov
Milan Adamov
vlasnik
Adamov Konsultacije d.o.o.
Beograd, Srbija

SuperModerator
Član broj: 21939
Poruke: 4413
*.pat-pool.bgd.sbb.co.yu.

Sajt: www.adamov.rs


+138 Profil

icon Re: ftp iza NAT-a i aktivni mod27.07.2005. u 09:33 - pre 227 meseci
Pitaš za Linux ili generalno? Ovo drugo može, to na Mac OS x nije problem, ne vidim razlog što ne bi moglo i na Linuxu. Problem je u sigurnosti, jer dozvoljavaš iniciranje konekcije spolja na portove iznad 1024, ne u tome da li je tehnički izvodljivo ili ne, a jeste izvodljivo.
 Certified Trainer Mojave 101 macOS Support Essentials 10.14
http://www.adamov.co.rs http://milan.adamov.rs http://www.infinitum.rs
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: ftp iza NAT-a i aktivni mod27.07.2005. u 09:43 - pre 227 meseci
Zanima me generalno, ali najmanje za Mac posto sa njim nazalost nemam nikakve "kontakte" :)
A kako? Najvise me zanima linux i sta treba da se podesi na NAT masini (koja je pod linuxom). Ali moze rijesenje i za windows.

Samo da jos jednom napomenem da se klijent koji pristupa nalazi iza NAT-a. FTP server je tamo negdje na internetu :)
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.vdial.verat.net.



+257 Profil

icon Re: ftp iza NAT-a i aktivni mod27.07.2005. u 11:06 - pre 227 meseci
Ja te nista nisam razumeo. Dakle, da li imas:
1) svoj server, korisnika tamo negde i treba da ga pustis kroz firevall na svoj server na kome imas i ftp na istom serveru Ili ftp server negde u tvom LAN-u?
2) ti treba da odes na neki server, a nalazis se u lokalnoj mrezi i ides preko nekog gateway-a koji te NAT-uje?

Ako je 1) u slucaju, masina je recimo na internetu, na njoj treba da podesis da ti pusta port 20 i 21 (u zavisnosti od passive i active ftp moda). Dodati nesto ovako u iptables pravila:
iptables -A INPUT -p tcp --syn --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 21 -j ACCEPT

Ako nije to, opisi sta jeste, pa da vidimo dalje....

Drugim recima, iptables koji ti je na linux NAT-u mozes podesiti bas onako kako ti odgovara... moze da prosledjuje portove, da brani ip adrese itd itd...



[Ovu poruku je menjao Jbyn4e dana 27.07.2005. u 12:07 GMT+1]
Kad sve ostalo zakaže, pročitaj uputstvo...
 
Odgovor na temu

madamov
Milan Adamov
vlasnik
Adamov Konsultacije d.o.o.
Beograd, Srbija

SuperModerator
Član broj: 21939
Poruke: 4413
*.pat-pool.bgd.sbb.co.yu.

Sajt: www.adamov.rs


+138 Profil

icon Re: ftp iza NAT-a i aktivni mod27.07.2005. u 11:20 - pre 227 meseci
Ako te zanima generalno. onda pogledaj ovo:
http://slacksite.com/other/ftp.html

Deo koji tebe interesuje je ovo:

In active mode FTP the client connects from a random unprivileged port (N > 1024) to the FTP server's command port, port 21. Then, the client starts listening to port N+1 and sends the FTP command PORT N+1 to the FTP server. The server will then connect back to the client's specified data port from its local data port, which is port 20.
From the server-side firewall's standpoint, to support active mode FTP the following communication channels need to be opened:
FTP server's port 21 from anywhere (Client initiates connection)
FTP server's port 21 to ports > 1024 (Server responds to client's control port)
FTP server's port 20 to ports > 1024 (Server initiates data connection to client's data port)
FTP server's port 20 from ports > 1024 (Client sends ACKs to server's data port)

 Certified Trainer Mojave 101 macOS Support Essentials 10.14
http://www.adamov.co.rs http://milan.adamov.rs http://www.infinitum.rs
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: ftp iza NAT-a i aktivni mod27.07.2005. u 12:16 - pre 227 meseci
@Jbyn4e
kako nisi razumio :)
Ovaj drugi slucaj je u pitanju.

@madamov
znam za taj link citao sam to i potpuno mi je jasan princip.

Znaci imam tamo neki FTP server na internetu na koji moze da se ostvari samo aktivna konekcija. E sad ja sam u LAN-u iza NAT-a. Kako da sa, recimo gftp, pristupim tom serveru, ali da bude aktivna konekcija? Je li dovoljno na toj NAT masini koji npr. u isto vrijeme radi i firewall funkciju, da li je dovoljno samo firewall ispravno podesiti, tj. pustiti konekcije na portove > 1024?
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.vdial.verat.net.



+257 Profil

icon Re: ftp iza NAT-a i aktivni mod27.07.2005. u 13:18 - pre 227 meseci
Hm.. uglavnom sam koristio passive ftp, ali evo sta ima google da kaze na temu
iptables nat active ftp internet
Sa
http://www.syrlug.org/contrib/ipmasq.html
Citat:

Kernel Modules and Active Mode FTP

The problem with standard FTP is that it opens the data connection from the server. This is bad for masquerading because the Gateway doesn't know that the connection should go to the Work Station. The best solution is to use passive mode whenever possible. Passive mode opens the data connection from the Work Station, and this is better for both masquerading and firewalls.

But iptables comes with two kernel modules that allow masquerading to work with FTP in active mode. The modules are not loaded automatically, you have to load them manually with modprobe.

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

These modules go beyond the bounds of basic masquerading. They understand the underlying protocol and look inside the packet's data. The first module examines FTP packets to identify related connections, and the second module modifies the packets. Note that the FORWARD rules must allow incoming RELATED packets for these modules to work correctly.

At the time of this writing, iptables comes with modules for FTP and Internet Relay Chat (IRC). There are many other modules for various protocols, but you have to download and compile them separately with the Patch-O-Matic feature of netfilter. Start by reading the Netfilter Extensions Howto from the IP Tables home page.

pa probaj da ih "rucno" dodas kad ti treba taj ftp da vidis hoce li raditi. Ako radi kako treba, dodaj ih u skript koji vrsi NAT a koji se startuje prilikom boot-a, pa vise ne moras da razmisljas o tome.


Kad sve ostalo zakaže, pročitaj uputstvo...
 
Odgovor na temu

[es] :: Linux/UNIX serveri i servisi :: ftp iza NAT-a i aktivni mod

[ Pregleda: 3686 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.