Погода: −18 °C
18.12−16...−12пасмурно, без осадков
19.12−11...−8переменная облачность, без осадков
  • Проблема вот в чем. По совету здешних знатоков организовал я внутреннюю подсеть 192.168.1.х c выходом во внешний мир через gate с реальным IP-адресом (Linux, настроил ipv4, все как положено), изнутри юзеры ходят в инет без проблем, но вот оказалось, что некоторые FTP-серверы "внутренних" не пускают - проверяют какую-то идентификацию и дают отлуп.
    Что проверяется и как это лечить? Не претендую на детальные инструкции, посоветуйте ключевые слова и где почитать.
    С уважением

  • Самое оптимальное было бы узнать, что конкретно вам сообщает FTP-сервер, когда дает отлуп. Но обычно проверка идентификации это проверка сочитания имени пользователя + пароль. Большенство FTP серверов настроены на анонимный доступ поэтому проблем с ними обычно нет. Но некоторые сервера требуют персональную идентификацию, и если вы не знаете имени пользователя и пароль, то соответсвенно они вас не пустят.

  • Спасибо. Сэр!
    но беда в том что здесь речь идет именно об анонимном доступе. С соседнего компьбтера (имющего реальный IP) доступ есть, а с внутри-сетевого (162.198...) фиг вам. Я с такой ситуацией раньше уже сталкивался, но давно было, забыл. В понедельник доложу подробнее, в чем суть отлупа.
    С уважением

  • Ок.
    Тогда еще вопрос: как организован выход в инет? Через NAT или через прокси? Если через прокси, то может быть просто на этих клиентах неверно прописаны его параметры?

  • Если всё ходит через NAT, то надо смотреть в сторону настроек iptables. Смотреть надо, пассивный или активный ФТП пользуется. Например, открой порт 113 на вход.. По этому порту происходит авторизация...

    Wir werden alle sterben

  • очень сильно смущает то, что "_некоторые_ ftp-сервера"... вот, если бы было: "все ftp-сервера не пускают машины с фейковыми адресами", --- то ответ был бы скорее всего таким:



    шлюз в интернет маскарадит "внутренних" клиентов, а для того, чтобы фтп работал через маскарад, нужно загрузить модуль, который это поддерживает (скорее всего ip_masq_ftp), или вкомпилить эту поддержку в ядро

  • Угу. Все почти так. Только осталось услышать автора топика и узнать что же он юзает ipchains, iptables или же поднял для этих целей прокси.:миг:

  • Использую ipchains,

    /sbin/ipchains -P forward DENY
    /sbin/ipchains -A forward -s 192.168.1.11 -j MASQ
    echo 1 > /proc/sys/net/ipv4/ip_forward

    FTP-сервер авторизованый, нам дали логин и пароль для входа, и все работает с компов с реальным IP, а при попытке входа из подсети получаем сообщение
    425 Can't redirect to third party

  • /sbin/ipchains -A forward -s 192.168.1.11 -j MASQ
    в данном случае у тебя маскарадинг только для адреса 192.168.1.11. Соответсвенно другие внутренние адреса под это правило не попадают.

  • >в данном случае у тебя маскарадинг только для адреса 192.168.1.11
    А только этому компьютеру из подсети и нужен выход в инет, именно о нем речь. В инет ходит успешно, а с доступом на определенный FTP сервер проблемы.

  • жаль, что не удалось услышать начальника транспортного цеха...



    иными словами: про ip-chains,-tables (можно сказать, что это одно и то же, только первое в ядрах 2.2.хх, а второе в 2.4.хх) было отвечено, а про модули?



    итак, что выдает команда `lsmod'? есть ли в списке загруженных модулей ip_mask_ftp?

  • >что выдает команда `lsmod'? есть ли в списке загруженных модулей ip_mask_ftp?
    а нету:

    Module Size Used by
    nfsd 143844 8 (autoclean)
    lockd 31176 1 (autoclean) [nfsd]
    sunrpc 52964 1 (autoclean) [nfsd lockd]
    eepro100 16180 1 (autoclean)
    rtl8139 12416 1 (autoclean)
    usb-uhci 19052 0 (unused)
    usbcore 42088 1 [usb-uhci]

    но при этом доступ из внутр.сети к анонимным FTP как я понял, без проблем. И еще. Я не понимаю, при чем тут FTP -казалось бы шлюзовой компьютер просто манипулирует IP пакетами не интересуясь, что там внутри, или я не прав?

  • >но при этом доступ из внутр.сети к анонимным

    FTP как я понял, без проблем.



    действительно ли без проблем?! а именно: действительно ли доступаются "нутряные" хосты к _внешним_ (!!!) ftp-серверам? если да, то действительно ли они могут скачивать/передавать с них файлы?



    загрузи ip_masq_ftp (прошу прощения за ошибку в наименовании модуля в предыдущем ответе) и проверь, вылечилась беда или нет. модуль можно загрузить, например командой `modprobe'.



    в первом письме было сказано, что достаточно ключевых слов в ответе, детальных инструкций не требуется, а вот я вижу как раз, что требуются... нет? а также нужно и обоснование :-) дело в том, что фтп для передачи файлов требует два соединения между клиентом и сервером: по одному принимаются/передаются команды, по другому --- данные (причем второе соединение может быть установлено и с каким-нибудь другим клиентом). параметры второго соединения (адрес и порт) передаются по первому "каналу". т.о., чтобы правильно передать файл через шлюз, нужно на шлюзе изменить данные пакета и открыть соединение для приема/передачи файла.



    кстати, сервер отвечает: "425 Can't redirect to third party," --- именно из-за того, что (с его точки зрения) клиент (твой шлюз) просит передать данные кому-то другому --- какому-то 192.168.1.11, а этого ему не позволяет сделать его религия. к тому же то, что ты получаешь ответ сервера говорит о том, что соединение-то таки да, установлено :-) файлы только не передаются.



    грузи модуль!



    ps. вопрос риторический: а ты после установки линух-то проапдейтил? проапдейть, пока добрые люди не поломали тебе его вдребезги и пополам. особенно свои фтп, rpc и сендмэйл. а также позакрывай открытые не необходимые порты для внешнего мира.

    pps. удачи

  • Спасибо, Сэр!
    Последую Вашим советам и доложу о результате.
    Что до подробных инструкций - не обессудьте, сами подставились. Могли просто сказать - читай все про ip_masq_ftp или еще про что.
    Тем более спасибо.

Записей на странице:

Перейти в форум

Модераторы: