[Sysadmins] iptables rules DNAT ftp passive

[Starodumoff Ilya]

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
>
> On Fri, 16 May 2008 22:07:28 +0600 you wrote:
> > В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> > > Hello Starodumoff Ilya!
> > >
> > > On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > > > А в FORWARD ничего не надо?
> > > >
> > > > конечно надо, если там полиси не accept стоит... :)
> > >
> > > Не покажите свои? :) На примерах проще разобраться...
> >
> > ну например так:
> >
> > iptables -P FORWARD DROP
> > iptables -A FORWARD -m state --state INVALID -j DROP
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21
> > -j ACCEPT iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp
> > --dport \ 65000:65535 -j ACCEPT
> >
> > iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
> > -j DNAT --to-destination $VE_IP
> > iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
> > -j DNAT --to-destination $VE_IP
> >
> > ну и соответствующим образом настроенный (диапазон портов для
> > пассивного режима) ftp сервер в VE
> >
> > соль, перец и остальное по вкусу :)
>
> Спасибо, но что-то не получается...


покажите конфиг фтп сервера в контейнере и

iptables -vnL FORWARD
iptables -t nat -vnL PREROUTING
на HN

-- 
С уважением,
Стародумов Илья