Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Port forwarding FTP

 
Nuovo argomento   Rispondi    Indice del forum -> Bridge e router
Precedente :: Successivo  
Autore Messaggio
Hook



Registrato: 06/06/08 14:56
Messaggi: 53

MessaggioInviato: Mer Ott 18, 2017 1:41 pm    Oggetto: Port forwarding FTP Rispondi citando

Salve a tutti.
Un problemino:
Sulla rete locale ho alcuni server (Apache, Wordpress, FTP etc)
Ovviamente ho creato dei forwarding (virtual servers) per accedervi.
Mettendo in NAT l'interfaccia verso l'esterno
iptables -t nat -A POSTROUTING -p all -d 0.0.0.0/0 -s 0.0.0.0/0 -o ETH01 -j MASQUERADE
sembra che le cose funzionino,
ma dall'interno della rete non riesco ad accedere tramite indirizzo esterno...
Mi spiego meglio:
Se dall'esterno accedo a www.nomesito.com o al suo ip va tutto bene,
ma se tento dall'interno della mia rete locale non riesco ad accedere (accedo solo tramite ip interno)

Ho provato diversi comandi "iptables", ma nulla da fare,

Con ZS 2.0 usavo questo script in avvio:
# NAT and Virtual Serveres
#
#----------------------
# Nat personalizzato
#ETH00 Local - ETH01 World
#----------------------
iptables -t nat -A POSTROUTING -p all -s 0.0.0.0/0 -d 192.168.200.0/24 -o ETH00 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -d 0.0.0.0/0 -s 192.168.200.0/24 -o ETH01 -j MASQUERADE
#----------------------
iptables -t nat -A POSTROUTING -p all -d 0.0.0.0/0 -s 0.0.0.0/0 -o ETH01 -j MASQUERADE
#----------------------


e tranne il fatto che qualunque accesso esterno veniva identificato come proveniente da ZS Box funzionava tutto.
ma con la 3.8 nella migliore delle ipotesi riesco a far funzionare tutto tranne l'FTP.
non capisco perchè le porte 80, 81, 8080, 5900 funzionano,
mentre la 21 non viene reindirizzata.

Spero di essere stato chiaro nella descrizione.

Qualunque aiuto/consiglio sarà il benvenuto

Carlo


L'ultima modifica di Hook il Mer Ott 18, 2017 11:03 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 122

MessaggioInviato: Mer Ott 18, 2017 10:42 pm    Oggetto: Re: Port forwarding FTP Rispondi citando

è un problema noto di alcuni kernel..
Top
Profilo Invia messaggio privato
Hook



Registrato: 06/06/08 14:56
Messaggi: 53

MessaggioInviato: Gio Ott 19, 2017 1:07 pm    Oggetto: Rispondi citando

Esiste qualche workaround?
O è necessario tornare alla versione 2.0 ?
Mi serve davvero dare accesso esterno al server FTP.

Grazie
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 122

MessaggioInviato: Gio Ott 19, 2017 1:47 pm    Oggetto: Rispondi citando

Hook ha scritto:
Esiste qualche workaround?
O è necessario tornare alla versione 2.0 ?
Mi serve davvero dare accesso esterno al server FTP.

Grazie


Ciao,

io ho fatto così, ho impostato il server FTp in PASV e come IP esterno del server FTP ho impostato l'indirizzo IL locale del server FTP.

A me così funziona.

Altri fanno FTP usando SSH...
Top
Profilo Invia messaggio privato
Hook



Registrato: 06/06/08 14:56
Messaggi: 53

MessaggioInviato: Dom Ott 22, 2017 12:25 am    Oggetto: Rispondi citando

Grazie,
Ma a me non funziona...
Devo assolutamente nattare in entrambe le direzioni perché,
Se dall'interno del sito accedo, p.es, a wordpress con l'ip interno mi mette tutti i link interni e da fuori non si accede più a pagine etc.
Non posso ne voglio operare tramite connessione 4g.

Peccato dover reinstallare la 2.0 perché dalla 3
in poi non funzionano più i virtual server.

Grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Gio Ott 26, 2017 9:01 pm    Oggetto: Rispondi citando

Sulla wan, hai un ip statico ? Potresti postare l'output di
Codice:
iptables -t nat -nvL

ciao
Top
Profilo Invia messaggio privato
Hook



Registrato: 06/06/08 14:56
Messaggi: 53

MessaggioInviato: Ven Ott 27, 2017 8:36 am    Oggetto: Rispondi citando

Eccolo:
root@zeroshell ~> iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 667K packets, 50M bytes)
pkts bytes target prot opt in out source destination
264 14640 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:55555 to:192.168.200.195:80
99 5940 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:55556 to:192.168.200.196:80
79 3840 DNAT tcp -- * * 0.0.0.0/0 88.87.121.138 tcp dpt:21 to:192.168.200.21:21
259 14032 DNAT tcp -- * * 0.0.0.0/0 88.87.121.141 tcp dpt:21 to:192.168.200.21:21
65 2984 DNAT tcp -- * * 0.0.0.0/0 88.87.121.139 tcp dpt:21 to:192.168.200.150:21
21 1004 DNAT tcp -- * * 0.0.0.0/0 88.87.121.139 tcp dpt:110 to:192.168.200.150:110
72 3476 DNAT tcp -- * * 0.0.0.0/0 88.87.121.139 tcp dpt:25 to:192.168.200.150:25
26 1260 DNAT tcp -- * * 0.0.0.0/0 88.87.121.139 tcp dpt:143 to:192.168.200.150:143
3906 178K DNAT tcp -- * * 0.0.0.0/0 88.87.121.139 tcp dpt:80 to:192.168.200.150:8081
1530 85012 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:80 to:192.168.200.150:8082
8816 445K DNAT tcp -- * * 0.0.0.0/0 88.87.121.141 tcp dpt:80 to:192.168.200.150:8083
243 13108 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:21 to:192.168.200.21:21
35 1632 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:25 to:192.168.200.155:25
12 488 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:110 to:192.168.200.155:110
16 640 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:143 to:192.168.200.155:143
12 488 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:993 to:192.168.200.155:993
11 456 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:995 to:192.168.200.155:995
4 220 DNAT tcp -- * * 0.0.0.0/0 88.87.110.86 tcp dpt:50100 to:192.168.200.100:5900
0 0 DNAT tcp -- * * 0.0.0.0/0 88.87.110.86 tcp dpt:50240 to:192.168.200.240:5900
318 13664 DNAT tcp -- * * 0.0.0.0/0 88.87.110.86 tcp dpt:80 to:192.168.200.10:80
0 0 DNAT tcp -- * * 0.0.0.0/0 88.87.110.86 tcp dpt:50021 to:192.168.200.21:5900
0 0 DNAT tcp -- * * 0.0.0.0/0 88.87.121.140 tcp dpt:50021 to:192.168.200.21:5900
1 32 DNAT udp -- * * 0.0.0.0/0 88.87.110.86 udp dpts:10001:10100 to:192.168.200.50:10001-10100
166K 124M DNAT udp -- * * 0.0.0.0/0 88.87.110.86 udp dpt:6389 to:192.168.200.50:5060
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:55557 to:192.168.200.197:81
82 3932 DNAT tcp -- * * 0.0.0.0/0 88.87.121.142 tcp dpt:21 to:192.168.200.21:21
78 4680 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:55558 to:192.168.200.198:80
0 0 DNAT tcp -- * * 0.0.0.0/0 88.87.121.141 tcp dpt:30253 to:192.168.200.99:16992
0 0 DNAT tcp -- * * 0.0.0.0/0 88.87.121.141 tcp dpt:23662 to:192.168.200.50:80
13 520 DNAT tcp -- * * 0.0.0.0/0 88.87.121.141 tcp dpt:7000 to:192.168.200.235:8080
13 548 DNAT tcp -- * * 0.0.0.0/0 88.87.121.141 tcp dpt:9090 to:192.168.200.235:8080
332 17780 DNAT tcp -- * * 0.0.0.0/0 88.87.121.142 tcp dpt:81 to:192.168.200.150:8084
8583 499K DNAT tcp -- * * 0.0.0.0/0 88.87.121.142 tcp dpt:80 to:192.168.200.151:80
2 104 DNAT tcp -- ETH00 * 0.0.0.0/0 88.87.110.86 tcp dpt:21 to:192.168.200.21:21
104 4856 DNAT tcp -- ETH01 * 0.0.0.0/0 88.87.110.86 tcp dpt:21 to:192.168.200.21:21

Chain INPUT (policy ACCEPT 365K packets, 30M bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 904K packets, 105M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 499K packets, 71M bytes)
pkts bytes target prot opt in out source destination
1386K 249M SNATVS all -- * * 0.0.0.0/0 0.0.0.0/0
192K 125M MASQUERADE all -- * ETH00 0.0.0.0/0 192.168.200.0/24
281K 19M MASQUERADE all -- * ETH01 192.168.200.0/24 0.0.0.0/0
913K 106M OpenVPN all -- * * 0.0.0.0/0 0.0.0.0/0
405K 34M MASQUERADE all -- * ETH01 0.0.0.0/0 0.0.0.0/0

Chain OpenVPN (1 references)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.250.240-192.168.250.253

Chain SNATVS (1 references)
pkts bytes target prot opt in out source destination
root@zeroshell ~>

Grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Ven Ott 27, 2017 6:31 pm    Oggetto: Rispondi citando

Assumendo il server FTP sia 192.168.200.21, e l'ip dell'interfaccia interna 192.168.00.1, prova a cambiare questa regola
Codice:
iptables -t nat -A POSTROUTING -p all -s 0.0.0.0/0 -d 192.168.200.0/24 -o ETH00 -j MASQUERADE

con
Codice:
iptables -t nat -I POSTROUTING -p tcp --dport 21 -s 192.168.200.0/24 -d 192.168.200.21 -o ETH00 -j SNAT --to-source 192.168.200.1

Hai piu' di un ip pubblico su ETH1 ?
ciao
Top
Profilo Invia messaggio privato
Hook



Registrato: 06/06/08 14:56
Messaggi: 53

MessaggioInviato: Lun Nov 06, 2017 12:16 pm    Oggetto: Rispondi citando

Innanzitutto scusa il ritardo, ma ero in viaggio e preferisco fare modifiche essendo fisicamente vicino al box.

Ho provato, ed a prima vista sembra funzionare.
Domani farò test esaustivi dall'interno e dall'esterno della mia rete.

GRAZIE GRAZIE GRAZIE !!!!!

PS Ci sono 5 IP pubblici su ETH01, relativi a 4 siti miei ed uno di "servizio" per uso mio.
Ho, però, un solo server FTP, quindi tutti e 5 (porta 21) puntano allo stesso ip interno 192.168.200.21:21

Dopo le prove posterò il risultato, che però promette di essere buono.
Grazie ancora per avermi aiutato a risolvere un problema che durava da molto tempo.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Bridge e router Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it