我做了个ftp的nat 测试不过,请大家帮忙看看!

kenduest

原帖由 aini2003 于 2007-3-8 17:18 发表于 9楼  
Thu 08Mar07 15:11:18 - (000005) Connected to 192.168.0.238 (Local address 192.168.0.254)
Thu 08Mar07 15:11:18 - (000005) 220 Serv-U FTP Server v6.2 for WinSock ready...
Thu 08Mar07 15:11:20  ...

啊？兩層 nat ? 你要不要花個網絡連結架構圖才好分析 ?

--

aini2003

没有两层, 一个NAT router linux as 4的系统,两个网卡,一个外网地址,一个内外地址,上面跑iptables
FTP server 在里面,通过这个 nat router 出去,现在就是想用内网这个做ftp服务器而已.

aini2003

在线等,希望那位能帮忙解决一下.

aini2003

谢谢,kenduest的回复,ftp log 是说明我在内网的192.168.0.238能连到服务器192.168.0.254上面,我用外部的电脑测试过也不可以,今天我换个FTPserver 看能不能连上去,按理由ipatable设定应该没错

aini2003

能不能看iptable log ,然后看看到底外面进来到20.21端口的数据有没被档!

iptables -t nat -A PREROUTING -d 210.*.*.* -i eth1 -p tcp -m tcp --dport 20 -j LOG -log-level 4
我加入这行规则,提示
iptables v1.2.11: Unknown arg `LOG'
怎么会说不能识别这个参数呢,晕死,难道要加载模块!不是默认有的吗


刚才再试了一次
iptables -t nat -A PREROUTING -d 210.*.*.* -i eth1 -p tcp -m tcp --dport 20 -j LOG --log-prefix " " --log-level 4
这个命令就可以了看来一定要加上--log-prefix 才可以,网好的例子都没有,看来不能尽信网上的东西!

[ 本帖最后由 aini2003 于 2007-3-9 12:04 编辑 ]

aini2003

今天继续的在线等,希望那位你给点意见!........郁闷中

aini2003

Mar  9 12:11:46 gzmop kernel: ..ftp..IN=eth1 OUT= MAC=00:14:78:4d:69:63:00:18:74:2c:20:80:08:00 SRC= 61.144.130.71 DST=210.*.*.* LEN=52 TOS=0x00 PREC=0x00 TTL=50 ID=38969 DF PROTO=TCP SPT=1463 DPT= 21 WINDOW=65535 RES=0x00 SYN URGP=0

这是我从外边ftp 210.*.*.* 时iptable的 log,不知道有没有穿过防火墙呢,不会看!

OUT= 这边没有出去的地址,那是不是就没有穿过防火墙呢?

[ 本帖最后由 aini2003 于 2007-3-9 15:13 编辑 ]

aini2003

看了好多网上的资料,发现自己的脚本没错,后来重新分析了网络结构,原来发现ftp服务器是通过另外一个gateway出外的.改过来就可以了,
多谢 kenduest   
的帮助!分数还是应该给他的,谢谢版主的帮忙!

[ 本帖最后由 aini2003 于 2007-3-9 15:28 编辑 ]

joy167270

刚学没多久，只是看你们说的我都看不是很懂，学习中，我的FTP好像也出现这种问题，我是用VSFTPD，我所自己创建的用户都提示:
500 OOPS: cannot change directory:/home/joy
Login failed.
421 Service not available, remote server has closed connection
应该来说我创建的用户是没有被添加到Deny中去，但我用Public用户能登录

lxy9805287

iptables -t nat -A PREROUTING -d destip -p tcp --dport 21 -j DNAT --to inip:21

[ 本帖最后由 lxy9805287 于 2007-3-10 04:52 编辑 ]