Ipnat-Problem

Malte_4b1c84 · 6. November 2019 um 18:54

Moin,

ich möchte hinter einem FreeBSD-5.0R-Gateway einen FTP-Server betreiben. Mit aktiven FTP funktiniert das auch sehr gut, bloß passives FTP geht halt nicht - klar, dafür muß ich den im ftpd definierten Port Range auf dem Gateway forwarden. Bloß… Wie definiere ich da einen Portrange?
Der ftpd übergibt den Port Range 10000-10200 für PASV.
Momentan sieht meine ipnat.conf so aus:

[root@gwendoline /etc/ppp]# less /etc/ipnat.conf 
# outside nat
map tun0 192.168.0.0/24 -\> 0/32

# redirect ftp traffic
rdr tun0 0.0.0.0/0 port 21 -\> 192.168.0.4 port 21

# redirect ssh traffic
rdr tun0 0.0.0.0/0 port 22 -\> 192.168.0.4 port 22

# redirect www traffic
rdr tun0 0.0.0.0/0 port 80 -\> 192.168.0.4 port 80

man ipnat hilft mir nicht wirklich weiter, aber vielleicht werdet ihr daraus schlau:

http://www.freebsd.org/cgi/man.cgi?query=ipnat.conf&…

Dank & Gruß,

Doc.

Anonym · 6. November 2019 um 18:55

Hallo

man ipnat.conf ist etwas interessanter aber meines Erachtens
ist die Grammatikspezifikation lückenhaft.
map-block scheints zu sein, aber ich sehe auch nicht so spontan
wie mans benutzt, da es irgendwie zusätzlich noch Adressen auf Ports abbildet.
Zudem denke ich, ist dieses Tool eigentlich zu mächtig.
Da es ja nur um das statische Forwarden von Paketen geht (?)
würde ich einfach per ipfw alle Anfragen im betreffenden Bereich
anf den FTP-Server forwarden.
Das ist zwar etwas unschoen, falls der Router selber unter diesen Adressen was anbietet. Aber eine dynamische Lösung scheint ipnat auch nicht zu sein.

MfG
Martin

Malte_4b1c84 · 6. November 2019 um 18:55

Hallo

man ipnat.conf ist etwas interessanter aber meines Erachtens
ist die Grammatikspezifikation lückenhaft.

man ipnat.conf mein ich ja auch, sorry.
Ja, entweder ist die Doku lückenhaft, oder ipnat kann das einfach nicht - letzteres kann ich mir aber nicht wirklich vorstellen.

map-block scheints zu sein, aber ich sehe auch nicht so
spontan
wie mans benutzt, da es irgendwie zusätzlich noch Adressen auf
Ports abbildet.

Ich werd da mal mit rumexperimentieren, Danke.

Zudem denke ich, ist dieses Tool eigentlich zu mächtig.
Da es ja nur um das statische Forwarden von Paketen geht (?)
würde ich einfach per ipfw alle Anfragen im betreffenden
Bereich anf den FTP-Server forwarden.

Ja, soll statisch sein. Dynamisch ist zwar auch ne nette Sache, aber das muß bei nem kleinen Heimnetzwerk nicht sein.
In der ipfw-Doku (eigentlich benutze ich ipfilter, ipfw läuft aber trotzdem wg. traffic-shaping) hab ich gelesen, daß dabei die Destination-IP nicht verändert wird, durch das forwarding - stimmt das? Und wenn ja, ist das ein Problem für den FTP-Server? Ich nutze pure-ftpd.

Das ist zwar etwas unschoen, falls der Router selber unter
diesen Adressen was anbietet. Aber eine dynamische Lösung
scheint ipnat auch nicht zu sein.

Nicht auf dem PPPoE-Interface, nein. Auf dem Gateway wird als Dienst nur ssh angeboten, und das auch nur nach intern, der Rest sollte dicht sein.

Vielen Dank erstmal, das ist die erste hilfreiche Antwort zu diesem Thema - trotz Mailinglisten, Newsgroups etc. pp…

Gruß,

Doc.