[Sysadmins] iptables rules DNAT ftp passive

Пт Май 16 21:22:59 MSD 2008

Hello Starodumoff Ilya!
On Fri, 16 May 2008 22:07:28 +0600 you wrote:

> В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > Hello Starodumoff Ilya!
> >
> > On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > > А в FORWARD ничего не надо?
> > >
> > > конечно надо, если там полиси не accept стоит... :)
> >
> > Не покажите свои? :) На примерах проще разобраться...
> 
> ну например так:
> 
> iptables -P FORWARD DROP
> iptables -A FORWARD -m state --state INVALID -j DROP
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21
> -j ACCEPT iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp
> --dport \ 65000:65535 -j ACCEPT
> 
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
> -j DNAT --to-destination $VE_IP
> iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
> -j DNAT --to-destination $VE_IP
> 
> ну и соответствующим образом настроенный (диапазон портов для
> пассивного режима) ftp сервер в VE
> 
> соль, перец и остальное по вкусу :)
> 
Спасибо, но что-то не получается...

-- 
Всего наилучшего! Григорий
greg [at] anastasia [dot] ru
Письмо отправлено: 2008/05/16 21:22