The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"На половину живой ftp..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"На половину живой ftp..."
Сообщение от Susanin emailИскать по авторуВ закладки on 08-Сен-03, 15:30  (MSK)
В iptables прописана маршрутизация по определенным портам (21, 100 и др.) через SNAT. Все работало недели три. Потом ftp наполовину умер, т.е. соединение устанавливается, а вот на передаче данных - соединение падает. Routing по всем другим портам работает исключительно.
IE выдает error:
425 Unable to build data connection:Connection refused.
Причем на самом маршрутизаторе все ОК.

iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -P INPUT DROP  
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
...
...
iptables –t nat –A POSTROUTING –o eth0 –p tcp –dports 21 –j SNAT –to x.x.x.x

Есть подозренее что это из-за State пакетов. Но ведь в них ничего не меняли.
Буду признателен за любые советы или ссылки.

Susanin

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "На половину живой ftp..."
Сообщение от iiws emailИскать по авторуВ закладки on 08-Сен-03, 16:44  (MSK)
>В iptables прописана маршрутизация по определенным портам (21, 100 и др.) через
>SNAT. Все работало недели три. Потом ftp наполовину умер, т.е. соединение
>устанавливается, а вот на передаче данных - соединение падает. Routing по
>всем другим портам работает исключительно.
>IE выдает error:
>425 Unable to build data connection:Connection refused.
>Причем на самом маршрутизаторе все ОК.
>
>iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
>
>iptables -P INPUT DROP
>iptables -A FORWARD -i eth0 -o eth0 -j REJECT
>...
>...
>iptables √t nat √A POSTROUTING √o eth0 √p tcp √dports 21 √j
>SNAT √to x.x.x.x
>
>Есть подозренее что это из-за State пакетов. Но ведь в них ничего
>не меняли.
>Буду признателен за любые советы или ссылки.
>
>Susanin

если у тебя ftp пашет тока в пассив моде, то достаточно 21 порт открыть, в этом случае клиент иницирует передачу данных по порту выше 1024, то есть порты свыше 1024 тоже должны быть открыты, иначе не сможет создать сокет. Если нет, то 20 порт нужен, в этом случае сервер иницирует передачу данных по 20 порту и порты выше 1024 не нужны.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "На половину живой ftp..."
Сообщение от Susanin emailИскать по авторуВ закладки on 08-Сен-03, 17:15  (MSK)
Всем сенкс. Сам решил трабл.  Вы сейчас, наверное, будете жутко смеяться. надо было сделать только:
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

После того как ftp упал (меня небsло 3 недели) была перезагрузка сервака, вот он и потерял этот модуль. Да ...... И на это я убил 2 недели. Будет урок.

Susanin

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру