ipmasqadm ciag dalszy... q;-]

[Andrzej Szombierski]

On Sun, 7 Apr 2002, ebola wrote:

> Witam Ponownie
> 
> Cos sie ruszylo jesli chodzi o ipmasqadm i ftp'a za maskarada ale nadal
> sytuacja jest troszke niejasna.
> Pole walki wyglada nastepujaco:
> 
> Jesli wydam polecenie:
> ipmasqadm portfw -a -P tcp -L ipserva 21 -R ipzamaskarada 21
> to wszystko mryga, ftp dziala i wogle wszystko jest extra, tylko ze na
> porcie 21 na servie chcialbym odpalic proftpd
> a przekierowanie zrobic z innego portu.
> Jesli wiec zrobie co stakiego:
> ipmasqadm -a -P tcp -L ipserva 1555 -R ipzamaskarada 21
> albo
> ipmasqadm -a -P tcp -L ipserva 1555 -R ipzamasakarada 1555
> to gostek z zewnatrz sie ladnie laczy, loguje ale nie moze wylistowac plikuf
> z serva ftp na
> kompie za maskarada (moze sie tylko zalogowac a dalej sie wszystko wali,
> ofcorz ftp za maskarada jest odpowiednio odpalany na 21 i 1555 porcie, na
> innych portach sytuacja jest podobna)
> 
> Wie ktos moze czemu wszystko mryga tylko na porcie 21 ?
> aha gostek ktory sie laczy z zewnatrz tez siedzi za maskarada

To już (prawie) wszystko jasne. Ponieważ Twój server ftp jest za
maskaradą, to nie może przyjmować pasywnych transferów, bo forwardujesz
tylko jeden port. Z kolei "gostek" jeżeli chce korzystać z aktywnych
transferów, to musi mieć na hoscie który go masq-je jakieś connection
tracking do ftp żeby poprawnie forwardowało przychodzące połączenia. Tylko
że standardowo moduły typu ip_masq_ftp itp. nie przewidują że ftp-daemon
może być na porcie != 21. Dlatego ani aktywne ani pasywne ftp nie będzie
działać jeżeli z obu stron jest masakarada.

> 
> Pozdrawiam
> Ebola
> 
> 
> 
> ________________________
> http://lists.pld.org.pl/
> 

Andrzej Szombierski
anszom w v-lo.krakow.pl / qq w kuku.eu.org / anszom w klub.chip.pl