| View previous topic :: View next topic |
| Author |
Message |
Jekpol
Apprentice
Joined: 20 Feb 2004
Posts: 198
|
 Posted: Mon Apr 04, 2005 11:17 am Post subject: |
 |
|
Насчет ж..., это можно и поспорить. В моем случае в клиенте ftp можно не указывать вообще прокси сервер, правилом iptables завернет на squid по-любому. Вот я и использовал прозрачное проксирование как мне было удобно и если хочешь через то самое место, результата я добился, а то что решения другие есть и может быть и лучше, я не спорю, но это уже другая история.
_________________
Главное не результат, а процесс. |
|
| Back to top |
|
 |
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Mon Apr 04, 2005 11:22 am Post subject: |
|
|
| Jekpol wrote: | | В моем случае в клиенте ftp можно не указывать вообще прокси сервер, правилом iptables завернет на squid по-любому. |
А вот это точно не правда. Когда прописываешь прокси в ftp-клиенте, то он либо начинает делать запросы по ftp, но оформляя их как запросы по http к прокси(ie так делает например), либо начинает использовать метод CONNECT прокси сервера и писать все комманды через него. А когда ты ничего не прописываешь, то ftp клиент начинает сыпать ftp комманды сквиду(который их не понимет) думая что общается не с прокси, а с ftp-сервером. |
|
| Back to top |
|
|
Jekpol
Apprentice
Joined: 20 Feb 2004
Posts: 198
|
| Posted: Mon Apr 04, 2005 11:29 am Post subject: |
|
|
Скажи тогда, на какие порты ftp клиент может коннектится и какие протоколы использует? Правилом iptables у меня все запросы по tcp протоколу на 80 и 21 порт перебрасываются на порт 3128. Остальные блокируются, что мне и нужно.
_________________
Главное не результат, а процесс. |
|
| Back to top |
|
|
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Mon Apr 04, 2005 11:38 am Post subject: |
|
|
| Jekpol wrote: | | Скажи тогда, на какие порты ftp клиент может коннектится и какие протоколы использует? |
В пассивном режиме использует только 21 порт, а протокол использует ftp, если идет мимо прокси. Или через прокси делает комманду CONNECT(вот уже не знаю, входит ли она в http протокол) и так же начинает использовать ftp пртокол. Или делает http-proxy запрос, но только с ftp:// ссылкой.
Ты лучше скажи, у тебя без прописывания прокси в клиенте ftp работает? и в логах все логится? сомневаюсь... |
|
| Back to top |
|
|
Jekpol
Apprentice
Joined: 20 Feb 2004
Posts: 198
|
| Posted: Mon Apr 04, 2005 12:01 pm Post subject: |
|
|
Без прописывания в клиенте ftp прокси сервера конечно ничего не выйдет, т.к. прокси у меня пускает только под именем и паролем (т.е. использует аутентификацию). Но мне нужно не пустить тех юзеров, которые настроили сами свои клиенты, а те, которые настрою я, будут работать нормально. Теперь понятно?
Если запретить коннекты по 21 порту, то можно добиться аналогичного результата, но так как по 80-му все-равно заворачивается, то зачем добавлять еще одно правило? А если squid будет вообще за файрволом, (если конечно такое может быть) то никто не сможет коннектиться по 21 порту, указывай не указывай прокси.
_________________
Главное не результат, а процесс. |
|
| Back to top |
|
|
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Mon Apr 04, 2005 12:10 pm Post subject: |
|
|
Мы о разном спорим %) ты говоришь что у тебя все работает так как тебе хочется. В этом я тебе верю :)
Но при этом говоришь еще и о том что по твоему должно работать, и при этом ты это не используешь и даже не проверял, а я говорю о том, что оно точно работать не будет
| Jekpol wrote: | | В моем случае в клиенте ftp можно не указывать вообще прокси сервер, правилом iptables завернет на squid по-любому. |
|
|
| Back to top |
|
|
Jekpol
Apprentice
Joined: 20 Feb 2004
Posts: 198
|
| Posted: Mon Apr 04, 2005 12:16 pm Post subject: |
|
|
Правилом завернет, разве не так? А вот squid дальше пустит или нет, то я об этом не говорил и не утверждал. Завернет по двум признакам: tcp протокол (ftp - это разновидность tcp, для iptables нет понятия ftp протокола, он знает только tcp, icmp, udp протоколы) и 21 порт. А я расказываю о конкретно своем случае, а не как может быть.
_________________
Главное не результат, а процесс. |
|
| Back to top |
|
|
viy
Veteran
Joined: 03 Jul 2004
Posts: 1580
Location: Riga, Latvia
|
| Posted: Mon Apr 04, 2005 12:29 pm Post subject: |
|
|
Завернет-то завернет, только ftp-клиент будет думать, что он говорит с ftp-сервером напрямую, без посредников. А по факту --- все команды будет squid получать. И он будет ругаться, т.к. в чистом виде ftp-протокол squid не понимает (ему надо пару инит-команд дать, чтобы он не думая просто делал tunneling для данных).
Про это и говорит ba. |
|
| Back to top |
|
|
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Mon Apr 04, 2005 12:30 pm Post subject: |
|
|
| Jekpol wrote: | | В моем случае в клиенте ftp можно не указывать вообще прокси сервер |
ок, закрываем спор :) просто я эту часть фразы понял как ``можно не прописывать, и так и так будет ходить''... |
|
| Back to top |
|
|
viy
Veteran
Joined: 03 Jul 2004
Posts: 1580
Location: Riga, Latvia
|
| Posted: Mon Apr 04, 2005 12:34 pm Post subject: |
|
|
Слушай, ba, меня другой вопрос давно волнует: у тебя на аватаре левый или правый глаз?..  |
|
| Back to top |
|
|
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Mon Apr 04, 2005 12:39 pm Post subject: |
|
|
| viy wrote: | | Слушай, ba, меня другой вопрос давно волнует: у тебя на аватаре левый или правый глаз?.. 8) |
правый вроде, картинка из опенинга к Elfen Lied %)
дааа... тема скатилась в жуткий оффтопик... |
|
| Back to top |
|
|
Nicephorus
n00b
Joined: 28 Feb 2005
Posts: 15
|
| Posted: Mon Apr 04, 2005 6:55 pm Post subject: |
|
|
вот и я про то, пришел с работы - офигел 35 сообщений, почитал - дельного 0% извините 
может всеже кто-нибудь для меня как для чайника(я не чайник но чтоб понятно было) обьяснить
ВОЗМОЖНА ЛИ РАБОТА ФТП ЧЕРЕЗ SQUID или просто форвардинг через нат для фтп сделать? |
|
| Back to top |
|
|
ba
l33t
Joined: 25 May 2003
Posts: 804
|
| Posted: Mon Apr 04, 2005 7:11 pm Post subject: |
|
|
| Nicephorus wrote: | | ВОЗМОЖНА ЛИ РАБОТА ФТП ЧЕРЕЗ SQUID или просто форвардинг через нат для фтп сделать? |
да возможна, как - тебе объяснили - правильный клиент+пассивный режим и прописанный прокси.
насчет нат-а, это более корректно, тк это прозрачно для пользователя и будет работать не только пассивный режим.
если я правильно понял что тебе надо, то делать в простейшем случае так:
echo 1 > /proc/sys/net/ipv4/ip_forward
или тоже самое через sysctl
и iptables -t nat -A POSTROUTING -s $local_net_with_mask -o $output_interface -j SNAT --to $external_ip
и на всякий случай, чтобы внутрь не пролезли iptables -A FORWARD -i $external_interface -d $local_net_with_mask -m state --state NEW -j REJECT
ну и в ядре включить нат и коннтрак для фтп |
|
| Back to top |
|
|
|
Russian
