OVH Community, your new community space.

Source-Nat für FTP


Xent
14.08.08, 21:53
Tatsache .... nu bekomm ich schonmal ne Verbindung ...

Code:
[R] Verbinde zu 91.121.X.X -> IP=91.121.X.X PORT=26
[R] Verbunden mit 91.121.X.X
[R] 220 ProFTPD 1.3.1 Server (ProFTPD) [10.1.0.1]
[R] USER nobody
[R] 331 Password required for nobody
[R] PASS (hidden)
[R] 230 User nobody logged in
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211-Features:
[R]  MDTM
[R]  REST STREAM
[R]  SIZE
[R] 211 End
[R] PWD
[R] 257 "/" is the current directory
[R] TYPE A
[R] 200 Type set to A
[R] PASV
[R] 227 Entering Passive Mode (10,1,0,1,156,71).
[R] Öffne Datenkanal-IP: 91.121.X.X PORT: 40007
[R] Daten Socket Fehler: Verbindung abgewiesen
[R] Auflistungsfehler
[R] PASV
[R] 227 Entering Passive Mode (10,1,0,1,156,64).
[R] Öffne Datenkanal-IP: 91.121.X.X PORT: 40000
[R] Daten Socket Fehler: Verbindung abgewiesen
[R] Auflistungsfehler
[R] PASV Modus fehlgeschlagen, versuche PORT  Modus.
Hab einfach nur zu den bestehenden sachen
Code:
iptables -t nat -A PREROUTING -d 91.121.X.X/32 -i eth0 -p tcp -m tcp --dport 26 -j DNAT --to-destination 10.1.0.1:26
Hinzugefügt ...

Aber warum will das nicht mit dem Port 21 laufen ... auf dem Hauptsystem ist nichts was diesen Port belegen würde oderso ...

Da ist nur OpenVPN, OpenVZ und Vmware Server installiert, mehr nicht ...

Muss ich nur noch die Passivports weiter reichen lassen ...


EDIT: Sooo nu hab ich noch das hier
Code:
iptables -t nat -A PREROUTING -d 91.121.X.X/32 -i eth0 -p tcp -m tcp --dport 40000:40010 -j DNAT --to-destination 10.1.0.1
hinzugefügt nu geht auch Passiv FTP ...
Und ich bin mich die ganze Zeit mit den FTP-Modulen am rumschlagen und mit den Iptables-Regeln ...


Also an alle, die auch das gleiche Problem haben ...
Vergesst die FTP-Module für Iptables ... Setzt im FTP-Server eine feste Range für die Passivenports und leitet die dann genauso wie den FTP port einfach mit DNAT weiter ...

paul_panzer
14.08.08, 21:38
verschiebe mal den port und versuch den daemon auf diesen anzusprechen.

Xent
14.08.08, 20:11
Das Routing ist definitiv aktiv ...

Komme aus den VPNs ins Internet, an die 10.1.0.1 an die 192.168.60.X

Bisher hab ich meine Sachen immer über das VPN hoch geladen auf die IP 10.1.0.1 halt.
Kann in der VE auch Pakete updaten mit apt usw und ansonsten würd der Webserver ja nicht funktionieren ... und der läuft definitiv ...

sledge0303
14.08.08, 18:56
Kommst du aus der VE raus mit einem Ping auf irgendeine Seite?

Wenn nein, dann versuche es mal mit dem Kommando im Hostsystem:

Code:
iptables -t nat -A POSTROUTING -s 10.0.0.1 -o eth0 -j SNAT --to $deine.ext.ip.adresse
Wenn das anschließend ebenfalls nicht klappt aus der VE eine Seite anzupingen, dann hast definitiv das Routing nicht aktiviert.

Xent
14.08.08, 15:45
Code:
 iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp-data state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:40000:40010 dpts:40000:40010 state ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             10.1.0.1            state NEW,RELATED,ESTABLISHED tcp dpt:ftp

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:40000:40010 dpts:40000:40010 state RELATED,ESTABLISHED
ns28498:~# grep CONFIG_IP_* /boot/$deine_kernel_config
Beim Server hab ich die passiven Ports halt auf 40000 bis 40010 gestellt


EDIT: Ach die Variable beim letzten Befehl hab ich garnicht gesehn ... moment kommt sofort ...

Code:
 grep CONFIG_IP_* /boot/config-2.6.18-12-fza-686
CONFIG_IPC_NS=y
CONFIG_IP_MULTICAST=y
CONFIG_IP_ADVANCED_ROUTER=y
# CONFIG_IP_FIB_TRIE is not set
CONFIG_IP_FIB_HASH=y
CONFIG_IP_MULTIPLE_TABLES=y
CONFIG_IP_ROUTE_FWMARK=y
CONFIG_IP_ROUTE_MULTIPATH=y
# CONFIG_IP_ROUTE_MULTIPATH_CACHED is not set
CONFIG_IP_ROUTE_VERBOSE=y
# CONFIG_IP_PNP is not set
CONFIG_IP_MROUTE=y
CONFIG_IP_PIMSM_V1=y
CONFIG_IP_PIMSM_V2=y
CONFIG_IP_VS=m
# CONFIG_IP_VS_DEBUG is not set
CONFIG_IP_VS_TAB_BITS=12
CONFIG_IP_VS_PROTO_TCP=y
CONFIG_IP_VS_PROTO_UDP=y
CONFIG_IP_VS_PROTO_ESP=y
CONFIG_IP_VS_PROTO_AH=y
CONFIG_IP_VS_RR=m
CONFIG_IP_VS_WRR=m
CONFIG_IP_VS_LC=m
CONFIG_IP_VS_WLC=m
CONFIG_IP_VS_LBLC=m
CONFIG_IP_VS_LBLCR=m
CONFIG_IP_VS_DH=m
CONFIG_IP_VS_SH=m
CONFIG_IP_VS_SED=m
CONFIG_IP_VS_NQ=m
CONFIG_IP_VS_FTP=m
CONFIG_IPV6=m
CONFIG_IPV6_PRIVACY=y
# CONFIG_IPV6_ROUTER_PREF is not set
CONFIG_IPV6_TUNNEL=m
CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_CT_ACCT=y
CONFIG_IP_NF_CONNTRACK_MARK=y
# CONFIG_IP_NF_CONNTRACK_SECMARK is not set
CONFIG_IP_NF_CONNTRACK_EVENTS=y
CONFIG_IP_NF_CONNTRACK_NETLINK=m
CONFIG_IP_NF_CT_PROTO_SCTP=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_NETBIOS_NS=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_PPTP=m
CONFIG_IP_NF_H323=m
CONFIG_IP_NF_SIP=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_IPRANGE=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_ADDRTYPE=m
CONFIG_IP_NF_MATCH_HASHLIMIT=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_TARGET_NETMAP=m
CONFIG_IP_NF_TARGET_SAME=m
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_NAT_AMANDA=m
CONFIG_IP_NF_NAT_PPTP=m
CONFIG_IP_NF_NAT_H323=m
CONFIG_IP_NF_NAT_SIP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_TARGET_CLUSTERIP=m
CONFIG_IP_NF_RAW=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
CONFIG_IP6_NF_QUEUE=m
CONFIG_IP6_NF_IPTABLES=m
CONFIG_IP6_NF_MATCH_RT=m
CONFIG_IP6_NF_MATCH_OPTS=m
CONFIG_IP6_NF_MATCH_FRAG=m
CONFIG_IP6_NF_MATCH_HL=m
CONFIG_IP6_NF_MATCH_OWNER=m
CONFIG_IP6_NF_MATCH_IPV6HEADER=m
CONFIG_IP6_NF_MATCH_AH=m
CONFIG_IP6_NF_MATCH_EUI64=m
CONFIG_IP6_NF_FILTER=m
CONFIG_IP6_NF_TARGET_LOG=m
CONFIG_IP6_NF_TARGET_REJECT=m
CONFIG_IP6_NF_MANGLE=m
CONFIG_IP6_NF_TARGET_HL=m
CONFIG_IP6_NF_RAW=m
CONFIG_IP_DCCP=m
CONFIG_IP_DCCP_ACKVEC=y
CONFIG_IP_DCCP_CCID2=m
CONFIG_IP_DCCP_CCID3=m
CONFIG_IP_DCCP_TFRC_LIB=m
CONFIG_IP_SCTP=m
CONFIG_IPX=m
# CONFIG_IPX_INTERN is not set
CONFIG_IPDDP=m
CONFIG_IPDDP_ENCAP=y
CONFIG_IPDDP_DECAP=y
CONFIG_IPW2100=m
CONFIG_IPW2100_MONITOR=y
# CONFIG_IPW2100_DEBUG is not set
CONFIG_IPW2200=m
CONFIG_IPW2200_MONITOR=y
# CONFIG_IPW2200_RADIOTAP is not set
# CONFIG_IPW2200_PROMISCUOUS is not set
CONFIG_IPW2200_QOS=y
# CONFIG_IPW2200_DEBUG is not set
CONFIG_IPPP_FILTER=y
CONFIG_IPMI_HANDLER=m
# CONFIG_IPMI_PANIC_EVENT is not set
CONFIG_IPMI_DEVICE_INTERFACE=m
CONFIG_IPMI_SI=m
CONFIG_IPMI_WATCHDOG=m
CONFIG_IPMI_POWEROFF=m

sledge0303
14.08.08, 15:40
Code:
iptables -L

grep CONFIG_IP_* /boot/$deine_kernel_config

Xent
14.08.08, 15:39
Sicher ist ip_forwarding aktiviert ...

kann ja von den vpns ind die anderen netze rein ...

Hab aber nochma die Befehle von dir ausgefühtr ... brachte aber auch nichts ...

sledge0303
14.08.08, 15:37
Ich geh mal von aus du hast auch ip-forwarding aktiviert... mmmhhh?

Code:
echo 'up sysctl -w net.ipv4.conf.eth0.proxy_arp=100' >> /etc/network/interfaces
echo 'pre-down sysctl -w net.ipv4.conf.eth0.proxy_arp=0' >> /etc/network/interfaces
echo 'ip_forward=yes' > /etc/network/options
echo "1" > /proc/sys/net/ipv4/ip_forward

/etc/init.d/networking restart
Anschließend bitte folgende Ausgabe posten:

Code:
iptables -L

Xent
14.08.08, 15:04
So hatte ich die Regel auch schon x-mal drin ... hab die nu wieder hinzugefügt und die andere raus gemacht ...
Aber immer noch nix ... noch nicht ma über telnet bekomm ich ne antwort
Nmap sagt des der Port Closed ist
Wenn ich nmap die 10.1.0.1 scannen lasse sagt er mir beim port 21 filtered

die unterschiedlichen ranges hab ich drauf, weil einmal die Openvz Ves ihre eigene Range habe, denn läuft 2 mal openvpn und noch einmal vmware drauf ...

Des mit dem 192.168.60.129 is deshalb so, weil da inner vmware nen mailserver läuft ... werd den aber auch demnächst in die ve mit rein packen, denn hab ich wieder mehr ressourcen frei.
Hatte schonmal nen Mailserver unter linux eingerichtet, aber als ich den denn getestet habe, kamen keine mails zurück bzw schien es so ...
die sind denn nich im Posteigang gelandet sondern wurden bei gmail irgendwie direkt archiviert... hab die dann erst später gefunden wo ich schon den mailserver unter windows eingerichtet hatte ...

sledge0303
14.08.08, 14:53
...ich will mal nicht so sein, hier ist ein kleiner Tipp

iptables -t nat -A PREROUTING -p tcp -d 91.121.x.x --dport 21 -i eth0 -j DNAT --to-destination 10.1.0.1:21
Nebenbei erwähnt, beschreibe mal wieso du unterschiedliche IP Ranges benutzt... 10.1.0.1 UND 192.168.60.129
wirkt irgendwie sinnfrei auf mich was da betreiben willst.

kenshin
14.08.08, 11:48
Zitat Zitat von Xent
....

noch sonen sinnloser Post ...
nix für ungut, ich kann dir mangels wissen nicht helfen, aber das mutti-post war einfach urkomisch ( wenn auch nicht hilfreich ;-))

Xent
14.08.08, 11:26
Läuft immer noch nicht ...
komm noch nicht mal per Telnet auf den Port ...

Hier sind mal meine iptables ...

Code:
iptables -A -A PREROUTING -d 91.121.x.x/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.0.1:80
iptables -A -A PREROUTING -d 91.121.x.x/32 -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.60.129:25
iptables -A -A PREROUTING -d 91.121.x.x/32 -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.1.0.1:443
iptables -A -A PREROUTING -d 91.121.x.x/32 -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.1.0.1

iptables -A -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source 91.121.x.x
iptables -A -A POSTROUTING -s 192.168.60.129/32 -o eth0 -j SNAT --to-source 87.98.x.x
iptables -A -A POSTROUTING -s 192.168.60.130/32 -o eth0 -j SNAT --to-source 87.98.x.x
iptables -A -A POSTROUTING -s 192.168.21.0/24 -o eth0 -j SNAT --to-source 87.98.x.x
iptables -A -A POSTROUTING -s 192.168.22.0/24 -o eth0 -j SNAT --to-source 87.98.x.x
iptables -A -A POSTROUTING -s 10.1.0.1/32 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 91.121.x.x

iptables -A -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT 
iptables -A -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A -A INPUT -p tcp -m tcp --sport 40000:40010 --dport 40000:40010 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -p tcp -d 10.1.0.1 --dport 21 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 40000:40010 --dport 40000:40010 -m state --state RELATED,ESTABLISHED -j ACCEPT

sledge0303
14.08.08, 09:38
Hallo,

man kann sich auch ganz schön glatt anstellen...

Klickmich

Viel Spaß beim lesen

Xent
14.08.08, 07:45
....

noch sonen sinnloser Post ...

da ihr anscheinend Spaß dran habe, hab ich euch ein extra Thema erstellt ...

absofort bitte alle überflüssigen Posts hier rein: http://forum.ovh.de/showthread.php?p=27213#post27213

Danke!!!!!

kenshin
14.08.08, 02:44
lol

Xent
13.08.08, 21:50
sind ja echt hilfreiche Bemerkungen ...

Hab echt schon einiges versucht.
Die verschiedensten NAT Einstellungen, hab die Module für FTP für Iptables geladen und und und ...
Bekomme weder ne aktive noch ne passive Verbindung hin

sledge0303
13.08.08, 21:30
Zitat Zitat von DeineMutti
Hallo,

[ ]Du kannst eine Suchmaschiene bedienen.
[ ]Du hast wirklich mindestens 5 minuten versucht dich zu infomieren.
[ ]Daher kennst du auch den Unterschied zwischen SNAT und DNAT.
[ ]Du lieferst brauchbare Informationen.
[ ]Du kennst durch deine Suche auch schon das OPENVZ Wiki.
[ ]Schön das es bei OVH einen neuen Server mit kompetenten Admin gibt.
[x]Nun gehts mir wieder etwas besser.


Viele Grüße

Mutti

DeineMutti
13.08.08, 21:28
Hallo,

[ ]Du kannst eine Suchmaschiene bedienen.
[ ]Du hast wirklich mindestens 5 minuten versucht dich zu infomieren.
[ ]Daher kennst du auch den Unterschied zwischen SNAT und DNAT.
[ ]Du lieferst brauchbare Informationen.
[ ]Du kennst durch deine Suche auch schon das OPENVZ Wiki.
[ ]Schön das es bei OVH einen neuen Server mit kompetenten Admin gibt.
[x]Nun gehts mir wieder etwas besser.


Viele Grüße

Mutti

Xent
13.08.08, 12:55
Hallo zusammen

ich habe einen Server bei OVH. Auf den hab ich nen normales Debian installiert.
Dadrauf hab ich denn OpenVZ eingerichtet.
Soweit läuft auch alles super nur ....

Ich bekomm es nicht hin, dass FTP an die VE weitergeleitet wird (VE = Virtual Environment).
Hatte schon viel im Internet gesucht und ausprobiert, aber bisher hab ichs nicht hinbekommen.

Es muss halt über Nat sein.

Vieleicht kann mir ja nochmal wer kurz schreiben, was man machen muss. Vieleicht waren die Anleitungen, die ich gefunden hatte ja schon veraltet ...

Danke schonmal