For my immediate need ip_masq_ftp worked just fine.  I didn't know about

insmod (thanks Ray), so I wasn't even loading the module.  Thanks for your

help, but I'm going to try to stick with the KISS principle for the time

being.  It's probably the best solution for me!  ;-)

Eric

-----Original Message-----

 From: ">owner-ale@ale.org [mailto:">owner-ale@ale.org]On Behalf Of Randy

Janinda

Sent: Thursday, April 27, 2000 1:37 PM

To: Eric Schmenk; Atlanta Linux Enthusiasts

Subject: Re: [ale] Getting FTP to work with IP Masquerading



I have played with this until I got a head ache. It seems the ip_masq_ftp

module

doesn't work as advertised. I have written a quick perl script that works

fairly

well. What it does it watches for outgoing FTP connections and adds a rule

to

your existing chains that allows connections from the FTP server. (Yes, I

know

the FTP protocol states that the return data can be from a completely

different

host the the one the commands are sent to). This script works for servers

that

return the data using the "ftp-data" port as well as the ones (like Windows

based ones) that like to return the data on some high number ports. The

assumption of the script is, you made the connection to the server,

therefore

you must want the server to be allowed to connect back to you. This does

open a

few potential problems. The nice thing is, when the connection ends, the

rule is

deleted.

A few variations:

If you run this script on a firewall and try to FTP from a MASQ'ed host the

file

that is read is /proc/net/ip_masq/tcp.

If you run this script and ipchains on the same box as you are FTP'ing from

the

file needs to be /proc/net/tcp.

Make your changes accordingly.

The script is attached and open for comments.


--
Randy Janinda
--
To unsubscribe: mail ">majordomo@ale.org with "unsubscribe ale" in message body.