|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Fatykhov 2:5020/400 07 Feb 2006 17:09:19
To : All
Subject : и всё таки второй канал, нат и фтп
--------------------------------------------------------------------------------
Hello, All!
так и не удаётся победить работу с фтп на втором канале...
исходные данные
rl0 - сновной канал на default gw
rl1 - локалка
rl2 - второй канал
правила ipfw:
check-state
...
skipto 10000 all from any to any in via rl2
skipto 10000 all from <second_ip> to any
...
skipto 10000 tcp from <local_client_ip> to <remote_ftp> setup keep-state in
via rl1
...
...
10000 divert 8668 ip from <local_clents> to not <second_ip>, <local_clients>
10100 divert 8668 ip from not <local_clients> to <second_ip>
10200 deny log udp from any to <second_ip> via rl2 keep-state
10300 deny log tcp from any to <second_ip> setup via rl2
10400 fwd <second_gw> ip from <second_ip> to not <local_clients>
10500 allow ip from any to any
.
просто http - работает на ура, icmp, udp вроде нормально ходит, но вот
<local_client_ip> пытается пойти на фтп на <remote_ftp> через второй
канал....
и наблюдаем такую картину по tcpdump
на rl2 - интерфейсе второго канала:
....
15:45:08.252268 IP <remote_ftp>.21 > <local_client_ip>.1180: P 256:285(29)
ack 94 win 65535
15:45:08.261670 IP <local_client_ip>.1180 > <remote_ftp>.21: P 94:104(10)
ack 285 win 65251
15:45:08.296351 IP <remote_ftp>.21 > <local_client_ip>.1180: . ack 104 win
65535
15:45:08.299856 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK,nop,wscale
1,nop,nop,timestamp 45233032 0>
15:45:11.342804 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK,nop,wscale
1,nop,nop,timestamp 45233332 0>
15:45:14.510748 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK,nop,wscale
1,nop,nop,timestamp 45233652 0>
15:45:17.698437 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
15:45:20.898393 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
15:45:21.827647 IP <local_client_ip>.1180 > <remote_ftp>.21: R 104:104(0)
ack 285 win 0
15:45:24.130126 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
15:45:30.316963 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
...
тут клиент ждёт ответа на свою команду LIST... и не может ничего получить,
т.к. соедиения для ftp-data не может установиться...
смотрим что на фейсе, смотрящем в локалку просходит (rl1)
..
15:45:17.188173 IP <local_client_ip>.1181 > <remote_ftp>.20: S
3231969285:3231969285(0) ack 1841558259 win 65535 <mss 1460,nop,wscale
0,nop,nop,timestamp 0 0,nop,nop,sackOK>
15:45:17.701056 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
15:45:17.701291 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 991938 45233032>
15:45:20.901034 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
15:45:20.901260 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 991969 45233032>
15:45:21.825041 IP <local_client_ip>.1180 > <remote_ftp>.21: R 102:102(0)
ack 285 win 0
15:45:24.133139 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
15:45:24.133302 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 992002 45233032>
15:45:30.319970 IP <remote_ftp>.20 > <local_client_ip>.1181: S
1841558258:1841558258(0) win 65535 <mss 1360,nop,nop,sackOK>
...
т.е. видно, что из ната вроде бы выходят запросы от удалённого фтп сервера с
20 порта с желанием установить data-connection
а теперь смотрим что происходит на rl0 - фейсе со шлюзом по умолчанию
... тишина.. и...
15:45:08.303215 IP <local_client_ip>.1181 > <remote_ftp>.20: S
3231969285:3231969285(0) ack 1841558259 win 65535 <mss 1460,nop,wscale
0,nop,nop,timestamp 0 0,nop,nop,sackOK>
15:45:11.253773 IP <local_client_ip>.1181 > <remote_ftp>.20: S
3231969285:3231969285(0) ack 1841558259 win 65535 <mss 1460,nop,wscale
0,nop,nop,timestamp 0 0,nop,nop,sackOK>
15:45:11.346331 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 991873 45233032>
15:45:14.513871 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 991905 45233032>
15:45:17.188307 IP <local_client_ip>.1181 > <remote_ftp>.20: S
3231969285:3231969285(0) ack 1841558259 win 65535 <mss 1460,nop,wscale
0,nop,nop,timestamp 0 0,nop,nop,sackOK>
15:45:17.701390 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 991938 45233032>
15:45:20.901361 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 991969 45233032>
15:45:24.133394 IP <local_client_ip>.1181 > <remote_ftp>.20: . ack 1 win
65535 <nop,nop,timestamp 992002 45233032>
...
т.е. клиент шлёт ответы _HО ПО ДЕФОЛТОВОМУ МАРШРУТУ_...
как докурить это дело?
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
