[Sysadmins] iptables rules DNAT ftp passive

[Starodumoff Ilya]

В сообщении от 16 мая 2008 Grigory Fateyev написал(a):
> Hello Starodumoff Ilya!
>
> On Fri, 16 May 2008 21:41:22 +0600 you wrote:
> > > А в FORWARD ничего не надо?
> >
> > конечно надо, если там полиси не accept стоит... :)
>
> Не покажите свои? :) На примерах проще разобраться...

ну например так:

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -d $VE_IP -m state --state NEW -p tcp --dport \ 
65000:65535 -j ACCEPT

iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 21 \
-j DNAT --to-destination $VE_IP
iptables -t nat -A PREROUTING -d $HN_IP -p tcp --dport 65000:65535 \
-j DNAT --to-destination $VE_IP

ну и соответствующим образом настроенный (диапазон портов для пассивного 
режима) ftp сервер в VE

соль, перец и остальное по вкусу :)

-- 
С уважением,
Стародумов Илья