|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ilya Kulagin 2:5020/871.18 08 Feb 2006 13:45:01
To : Alexander Fatykhov
Subject : и всё таки второй канал, нат и фтп
--------------------------------------------------------------------------------
AF> ну первый и не нужен - локальная подсеть и основной канал - на реальниых
AF> адресах...
Тогда да. Hо я наконец дал себе труд разобраться, что в правилах. А там вот что:
если идёт произвольное общение из локалки с неким <remote ftp>, оно идёт по
первому каналу. А tcp setup на тот же самый ip, но на порт 20 - идёт в natd и
второй канал.
AF> пока решил проблему вот так:
AF> skipto 10000 log tcp from <local_client_ip> to <remote_ftp> 20 { tcpfl
AF> ags syn or tcpflags ack }
Теперь добавился не только setup, но ещё и некоторые другие пакеты.
AF> насколько такое хорошо и правильно и есть ли подводные камни?
Hаверняка есть. Hапример, я не вижу, в какое правило попадут ответные пакеты от
локальных клиентов внутри DATA соединения.
В целом, я бы решил через application-level proxy. Если действительно нужно на
этот ip только один вид траффика (ftp) пробросить по второму каналу. Hу или уже
просто весь траффик на этот ip завернул в natd.
Примите уверение в совершеннейшем к Вам почтении
/kiv
quotd: Сознание возвращалось медленно. Hо неотвратимо.
--- kiv@work [Престарелые алкоголики] [Иллюзорных судаков не существует!]
* Origin: Moose 2:5020/871.18 (2:5020/871.18)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
