关于内网FTP无网关NAT的可行行探讨
关于内网FTP无网关NAT的可行行探讨
FTP用户 IP 100.100.100.100
iptablesIP 200.200.200.200 192.168.10.1
FTP IP 192.168.10.21
映射主端口12121>内网服务器192.168.10.21:12121
iptables -t nat -A PREROUTING -p tcp -d 119.145.139.148 --dport 12121 -j DNAT --to 192.168.10.21:12121
iptables -t nat -A POSTROUTING -d 192.168.10.0/24 -p tcp --dport 12121 -j SNAT --to 192.168.10.1
第2条规则则是将源IP映射为内网IP 使FTP服务器不需要设置网关
由于主动模式是FTP服务器主动发起连接 为数据端口做SNAT映射成公网IP
但由于前面是做了DNAT+SNAT FTP服务器误认为是192.168.10.1发起的连接 而又无法知道外网真实的请求IP 100.100.100.100
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
2个服务端口是比较难搞 高人来解决下 前提是FTP服务器不设置网关
你服务器不设置网关,即便外部请求能到达FTP服务器,FTP服务器找不到门(gateway),响应怎么出去?
我是做了2层NAT哦 第2条是把公网源地址SNAT成192.168.10.1 让FTP人为是网关访问他 而不是公网
单端口的SSH 22能实现 FTP双端口不知道怎么弄
modinfo 一下 nf_conntrack_ftp.ko,可以看到加载模块的时候支持 ports 参数
把涉及到的特殊端口加到里面,让 netfilter 的 ALG 能追踪上即可
之后要做的事情就是像 HTTP 一样处理 FTP 就可以了