Прошу помощи - из нашей сети (с любого компа) можно напрямую (в обход squid) попасть только на один внешний фтп и полноценно с ним работать. К другим любым только через squid и с ограничениями на некоторые действия (удаление файла, создание каталога и тп). Настраивал эту систему не я. Изучив вопрос предполагаю что это прописано в iptables. Подскажите как можно ещё добавлять другие фтп для прямого доступа к ним минуя squiq ?
Заранее благодарен.

• выход в интернет мимо squid,nkly, 14:33 , 09-Ноя-09
• выход в интернет мимо squid,fon_sun, 14:47 , 09-Ноя-09
  • выход в интернет мимо squid,shadow_alone, 14:56 , 09-Ноя-09
    • выход в интернет мимо squid,fon_sun, 15:03 , 09-Ноя-09
      • выход в интернет мимо squid,daloman, 15:08 , 09-Ноя-09
        • выход в интернет мимо squid,fon_sun, 15:14 , 09-Ноя-09
          • выход в интернет мимо squid,shadow_alone, 15:16 , 09-Ноя-09
      • выход в интернет мимо squid,shadow_alone, 15:14 , 09-Ноя-09
        • выход в интернет мимо squid,shadow_alone, 15:17 , 09-Ноя-09
        • выход в интернет мимо squid,fon_sun, 15:37 , 09-Ноя-09
          • выход в интернет мимо squid,fon_sun, 15:38 , 09-Ноя-09
            • выход в интернет мимо squid,shadow_alone, 15:44 , 09-Ноя-09
              • выход в интернет мимо squid,Pahanivo, 18:35 , 09-Ноя-09
          • выход в интернет мимо squid,shadow_alone, 15:38 , 09-Ноя-09
            • выход в интернет мимо squid,fon_sun, 15:41 , 09-Ноя-09
              • выход в интернет мимо squid,fon_sun, 15:44 , 09-Ноя-09
                • выход в интернет мимо squid,shadow_alone, 15:51 , 09-Ноя-09
                  • выход в интернет мимо squid,fon_sun, 16:01 , 09-Ноя-09
                    • выход в интернет мимо squid,fon_sun, 16:02 , 09-Ноя-09
                      • выход в интернет мимо squid,fon_sun, 18:15 , 09-Ноя-09

Подобный доступ можно организовать и через squid
разбирайтесь с работой squid
Кроме вас никто здесь не знает конфигурацию вашей сети.
Никто не сможет ответить на поставленный таким образом вопрос.

я уже просто много по этой теме читал - есть мнения что полный доступ к ftp через scuid невозможен. Но мне именно важно не через squid - а в обход его чтобы не менять его конфигурацию - а только средствали firewall и / или iptables

>я уже просто много по этой теме читал - есть мнения что
>полный доступ к ftp через scuid невозможен. Но мне именно важно
>не через squid - а в обход его чтобы не менять
>его конфигурацию - а только средствали firewall и / или iptables
>

не заворачивай 21 порт на squid и всё

>не заворачивай 21 порт на squid и всё

именно мне нужно только для определённых ftp такой доступ разрешить - для любых ftp открывать это не мой вариант - по факту так у меня работает - доступ к одному фтп (100% не из моей локалки) есть прямой - а к другим нету - это прописано не в конфиге squid - а скорее всего через iptables - прошу совета как это можно найти - это правило - может найдя и прочитая его свой ftp туда уже будет по примеру несложно добавить

>[оверквотинг удален]
>
>именно мне нужно только для определённых ftp такой доступ разрешить - для
>любых ftp открывать это не мой вариант - по факту так
>у меня работает - доступ к одному фтп (100% не из
>моей локалки) есть прямой - а к другим нету - это
>прописано не в конфиге squid - а скорее всего через iptables
>- прошу совета как это можно найти - это правило -
>может найдя и прочитая его свой ftp туда уже будет по
>примеру несложно добавить
>

Ну, взгляните что-ли на правила огнестена

>Ну, взгляните что-ли на правила огнестена

В firewall (конфиг файл) такого правила нет - единственная область куда я ещё не попал и не знаю как посмотреть в ней правила - это iptables - может кто напишет как из iptables глянуть все правила?

а iptables по вашему что? не файрвол?
интересно конфиг какого файрвола вы смотрели :)

iptables -L -n -v

и сюда выложите

и
iptables -t nat -L -n -v

а может просто выложите конфиг файрвола сюда... а то телепатов нет.

>а может просто выложите конфиг файрвола сюда... а то телепатов нет.

вообще, неплохо было б выложить сюды какая система....

>а может просто выложите конфиг файрвола сюда... а то телепатов нет.

Весь файл выложить не смог но просмотрев ещё раз внимательнее свежим взшлядом нашёл такую строчку

A-FORWARD 88.88.88.88 -p tcp -m tcp --dport 20:21 -j ACCEPT

88.88.88.88 - вместо него реальный ip - может эта строка и разрешает - доступ по 20 и 21 порту к определённому серваку ???? или что это правило обозначает???

>[оверквотинг удален]
>
>Весь файл выложить не смог но просмотрев ещё раз внимательнее свежим взшлядом
>нашёл такую строчку
>
>
>A-FORWARD 88.88.88.88 -p tcp -m tcp --dport 20:21 -j ACCEPT
>
>88.88.88.88 - вместо него реальный ip - может эта строка и разрешает
>- доступ по 20 и 21 порту к определённому серваку ????
>или что это правило обозначает???

после ip ещё порт 32 указан 88.88.88.88/32

Вы лучше позовите человека знающего, а то тут много смеха будет, если вы маску с портом путаете :)

>Вы лучше позовите человека знающего, а то тут много смеха будет, если
>вы маску с портом путаете :)

я даже не могу не-матерного слова подобрать ... ))

>[оверквотинг удален]
>
>Весь файл выложить не смог но просмотрев ещё раз внимательнее свежим взшлядом
>нашёл такую строчку
>
>
>A-FORWARD 88.88.88.88 -p tcp -m tcp --dport 20:21 -j ACCEPT
>
>88.88.88.88 - вместо него реальный ip - может эта строка и разрешает
>- доступ по 20 и 21 порту к определённому серваку ????
>или что это правило обозначает???

угу

какая OS?

>угу
>
>какая OS?

debian - версию не помню (жизнь заставила разбираться) - я пока мало её пользую

посмотрел ip ftp- сервера к кот. есть это тот что указан в фаерволе!!!!
Теперь может подскажете как расширить это правило ещё на один(или несколько) ip???

>посмотрел ip ftp- сервера к кот. есть это тот что указан в
>фаерволе!!!!
>Теперь может подскажете как расширить это правило ещё на один(или несколько) ip???
>

найдите настройки файрвола, наверняка здесь /etc/network/if-up.d/firewall
если там нет файла firewall, то может его назвали по другому.
а может вообще грузят правила в /etc/rc.local - кто его знает кто там и как настраивал.

>найдите настройки файрвола, наверняка здесь /etc/network/if-up.d/firewall
>если там нет файла firewall, то может его назвали по другому.
>а может вообще грузят правила в /etc/rc.local - кто его знает кто
>там и как настраивал.

строчку я читал из файла root/firewall - файл - active
в etc/network/if-up.d/firewall - файлы
*avahi
*bindg
*clamav.....
*openssh-server
*postfix

в папке etc - подкаталога rc.local нет

я думаю именно в файле active и надо добавить свой ftp

>я думаю именно в файле active и надо добавить свой ftp

всё работает как надо.

готовое решение - строка
A-FORWARD 88.88.88.88/32 -p tcp -m tcp --dport 20:21 -j ACCEPT

даёт полный доступ для работы с ftp находящимся на ip 88.88.88.88 - что такое 32 - я не разобрался - у меня так было прописано и по аналогии я также написал - знаю что порты на обоих серверах были 2100. Всем огромное спасибо за поддержку.