外网访问内部FTP服务器

mdiane

==说明＝＝
网络结构说明
Router：两个IP，A为公网IP 202.x.x.x，B为内网IP 172.x.x.1，
Linux网关：两个内网IP，A为172.x.x.8，B为192.x.x.8
FTP Server：IP地址为192.x.x.9
＝目的＝
公网访问FTP服务器
＝＝但前的做法＝＝
Router上作NAT到172.x.x.8
Linux GW上，在iptables上设置
iptables -t nat PREROUTING -i eth1 -d 172.x.x.8 --dport 20:21 -j DNAT --to-destination 192.x.x.9
iptables -t nat POSTROUTING -o eth0 -s 192.x.x.9 --sport 20:21 -j SNAT --to-source 172.x.x.8

结果就是，外网不能访问我的FTP。

敬请各位熟悉路由和IPTABLES的朋友指点一下。先谢过了。

ssffzz1

路由器你能动吗？
linux开转发了吗？
个机器的路由表我看下。

mdiane

回复 2# ssffzz1

Router上的两个网段路由已经做好
Linux上的双网卡路由和ip_forward已经打开

内网的机器（192.x.x.x），GW指向192.x.x.8，IPTABLES允许的客户机可以上网。172.x.x.x网段的机器也可以上网，GW指向172.x.x.x1，也可以上网。
在172.x.x.x的网段内有WEB服务器，内网、外网均可以访问。
现在是将FTP服务器移到了192.x.x.x的网段。另外，FTP Server iptables的状态目前是关闭的，并且在192.x.x.x网段可以正常访问FTP。

路由和LINUX router table我明天上班可以贴上来。

ssffzz1

好吧给我
路由器配置和路由表
linux的路由表，ifconfig -a ，iptables-save

mdiane

回复 4# ssffzz1


======Router Config======
==NAT
[global]  202.x.x.1:   21(ftp)   [local]     172.x.x.8:   21(ftp)
ip route-static 0.0.0.0 0.0.0.0 202.x.x.7 preference 60
ip route-static 192.x.x.0 255.255.255.0 172.x.x.8 preference 60
====Linux GW Config======
    [root@gw ~]# iptables-save
*nat
REROUTING ACCEPT [108879:8568479]
OSTROUTING ACCEPT [4:251]
:OUTPUT ACCEPT [140:8896]
-A PREROUTING -d 202.x.x.8 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.x.x.13
-A PREROUTING -d 172.x.x.8 -i eth1 -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.x.x.9
-A POSTROUTING -s 192.x.x.0/255.255.255.0 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.x.x.9 -o eth0 -p tcp -m tcp --sport 20:21 -j SNAT --to-source 172.x.x.8
COMMIT
*mangle
REROUTING ACCEPT [847372428:575714901418]
:INPUT ACCEPT [3280944:323966138]
:FORWARD ACCEPT [844006065:575384465018]
:OUTPUT ACCEPT [2089555:205424272]
OSTROUTING ACCEPT [837551076:575165591249]
COMMIT
*filter
:INPUT DROP [11:719]
:FORWARD DROP [11:773]
:OUTPUT ACCEPT [43885:3992666]
:allow - [0:0]
-A INPUT -j allow
-A FORWARD -j allow
-A allow -i lo -j ACCEPT
-A allow -p icmp -m icmp --icmp-type any -j ACCEPT
-A allow -p ipv6-crypt -j ACCEPT
-A allow -p ipv6-auth -j ACCEPT
-A allow -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allow -s 192.x.x.0/255.255.255.0 -d 172.x.x.0/255.255.255.224 -i eth0 -p tcp -m multiport --dports 22,80,53 -j ACCEPT
-A allow -s 192.x.x.6 -i eth0 -j ACCEPT
-A allow -s 192.168.1.0/255.255.255.0 -d 192.x.x.11 -j ACCEPT
-A allow -s 192.168.1.0/255.255.255.0 -d 192.x.x.146 -j ACCEPT
-A allow -s 192.168.1.0/255.255.255.0 -d 192.x.x.179 -j ACCEPT
-A allow -s 192.x.x.0/255.255.255.0 -d 125.101.189.28 -i eth0 -p tcp -j ACCEPT
-A allow -s 192.x.x.0/255.255.255.0 -d 125.101.189.23 -i eth0 -p tcp -j ACCEPT
-A allow -s 192.x.x.10 -i eth0 -m mac --mac-source 00:133:4F:0F:A9 -j ACCEPT
-A allow -s 192.x.x.130 -i eth0 -m mac --mac-source 00:E0:4C:60:99:F7 -j ACCEPT
-A allow -s 192.x.x.242 -i eth0 -m mac --mac-source 00:14:2A:A2:A6:CB -j ACCEPT
-A allow -s 192.x.x.179 -i eth0 -m mac --mac-source 00:11:25:70:B3:31 -j ACCEPT
[root@gw ~]# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 0X:5X:BX:2X:AX:5X  
          inet addr:192.x.x.8  Bcast:192.x.x.255  Mask:255.255.255.0
          inet6 addr: fe80::250:bfff:fe24:af51/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:501707943 errors:0 dropped:0 overruns:0 frame:0
          TX packets:347848629 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3112220713 (2.8 GiB)  TX bytes:707219248 (674.4 MiB)
          Interrupt:11 Base address:0xbc00

eth1      Link encap:Ethernet  HWaddr 0x:1x:2x:1x:Ex:Fx  
          inet addr:172.x.x.8  Bcast:172.x.x.31  Mask:255.255.255.224
          inet6 addr: fe80::214:2aff:fe17:eafd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:349689950 errors:0 dropped:0 overruns:0 frame:0
          TX packets:490359875 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:908889307 (866.7 MiB)  TX bytes:2389995750 (2.2 GiB)
          Interrupt:10 Base address:0xc000

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4725 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4725 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2220264 (2.1 MiB)  TX bytes:2220264 (2.1 MiB)

sit0      Link encap:IPv6-in-IPv4  
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[root@gw ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.x.x.0    0.0.0.0         255.255.255.224 U     0      0        0 eth1
192.x.x.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         172.x.x.1    0.0.0.0         UG    0      0        0 eth1

ssffzz1

你在路由器上直接映射192段的地址，然后再LINUX上放行不就OK了。

mdiane

你在路由器上直接映射192段的地址，然后再LINUX上放行不就OK了。
ssffzz1 发表于 2010-08-11 12:24

你是说Router上直接NAT到192网段，在Linux上放行来自172网段目的地址192.x.x9的数据？
我看看……

mdiane

你是说Router上直接NAT到192网段，在Linux上放行来自172网段目的地址192.x.x9的数据？
我看看……
mdiane 发表于 2010-08-11 14:01

    在ROUTER上我作了公网FTPip地址直接到192.x.x9的NAT
然后在LINUX上做了iptables -A allow -p ALL -s 路由器172的IP  -d 192.x.x.9 -j ACCEPT

结果还是不通。

在Router上ping 192.x.x.9,在192.x.x.9上TCPDUMP，看到的是以下信息：
18:05:49.801750 IP 路由器172的IP> 192.x.x.9: icmp 64: echo request seq 1
18:05:49.801885 IP 192.x.x.9 > 路由器172的IP: icmp 64: echo reply seq 1

我想应该就是iptables的问题，在路由器上可以直接ping通192.x.x.9

mdiane

好了，现在加了一条IPTABLES规则：
iptables -A allow -i eth1 -d 192.x.x.9 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
ftp连接是通了，但是不能列出目录，也就是数据传输有问题。
想想ftp服务器使用20端口主动连接客户机，唉，又不会写了……

ssffzz1

使用主动模式和被动模式都试试