iptable, щоб дозволити з'єднання ftp між двома мережами

У мене є дві машини, machine1 налаштований з мережею 192.168.1.0/24 і machine2 з мережею 10.10.0.0/24.

Я скинув зв'язок між двома мережами iptables -P FORWARD DROP. Але я хочу, щоб FTP підключення до та з machine2 в активному режимі.

Я роблю правило, як показано нижче, щоб досягти цього, але коли я перевіряю його не працює.

iptables –A FORWARD –s 192.168.1.0/24 –d 10.10.0.1 –p tcp –-dport 20:21 –m state -–state NEW,ESTABLISHED –j ACCEPT
iptables –A FORWARD –d 10.10.0.1 –s 192.168.1.0/24 –p tcp –-dport 20:21 –m state –-state NEW,ESTABLISHED –j ACCEPT

Чи можете ви допомогти зрозуміти, чому він не працює?

— jUsr
джерело

Подібне питання відповів на іншому сайті SE. unix.stackexchange.com/questions/93554/…

— prateek61

По-перше; якщо ваше правило падіння є першим у ланцюжку, ніщо не дістанеться до ваших наступних правил - ви повинні мати це правило після дозволених правил.

Це двосторонній зв'язок, тому потрібно мати правила в обох напрямках. Щось подібне, повторене для порту 20, має працювати, якщо після них виникає правило падіння.

iptables -A INPUT  -p tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT

Ви повинні мати форвардні правила, які будуть змінюватися в залежності від вашої топології мережі; якщо вони застосовуються на маршрутизаторі, що не ясно для мене з вашого опису, статичний маршрут повинен бути встановлений там, як ви, очевидно, зробили. Налаштуйте умови стану (якщо це не має сенсу).

— Argonauts
джерело

Дякуємо, що намагалися допомогти. Так, у мене є маршрутизатор, де Im застосування правил. Але з вашим правилом маршрутизатор приймає всі комунікації з будь-якого джерела і для будь-якої права дестинації? Але я хотів би дозволити тільки FTP зв'язок з і з machine2 в активному режимі.

— jUsr

Наступне правило надходження.

— Argonauts

en.m.wikipedia.org/wiki/Iptables : пакет перетинає ланцюжок, кожне правило по черзі розглядається. Якщо правило не відповідає пакету, пакет передається до наступного правила. Якщо правило дійсно відповідає пакету, правило приймає дію, позначену ціллю / вердиктом, що може призвести до того, що пакет буде дозволений для продовження по ланцюжку, або це може бути не так.

— Argonauts

Не бути педантом, але вам потрібно прочитати про речі, перш ніж відмовитися від допомоги.

— Argonauts

Iptables має трохи кривої навчання, м'яко кажучи. Якщо він не працює, мені потрібно більше інформації, щоб допомогти. По-перше, це топологія мережі ефективно ці два lans, кожен з виділеним маршрутизатором для підмережі? Якщо ні, будь ласка, опишіть його. Які моделі маршрутизаторів? Які операційні системи на двох машинах? Як з'єднані два ланцюги - вихід на кожній ланцюжку маршрутизаторів або wan, чи щось віддалене, наприклад, VPN в один маршрутизатор? Не розглядаючи можливість блокування всього трафіку (без правил падіння), чи можете ви спілкуватися взагалі між двома машинами - ping, ssh, ftp? Чим більше інформації, тим краще.

— Argonauts