Есть локальная сеть компьютеры которой вылазят в инте через сервер с Линуксом.
Необходимо средствами iptables разрешить доступ компьютерам локальной сети к ФТП серверам в интернете.
Для этого добавим в файл /etc/sysconfig/iptables правила:
#FTP
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp —dport 21 -j ACCEPT
Теперь в таблице NAT нужно добавить правило (в файле /etc/sysconfig/iptables после строки *nat):
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -p tcp —dport 21 -j MASQUERADE
где 192.168.0.0/255.255.255.0 — наша локальная сеть.
Так же, необходимо подключить дополнительный вспомогательный модуль ip_nat_ftp.
Это осуществляется добавлением в файл /etc/sysconfig/iptables-config следующих строк:
# Additional iptables modules (nat helper)
# Default: -empty-
IPTABLES_MODULES=»ip_nat_ftp»
Перед этим естественно нужно проверить есть ли такие модули в системе:
[root@srv sysconfig]# modprobe -l | grep nat/lib/modules/2.6.9-42.ELsmp/kernel/net/bridge/netfilter/ebtable_nat.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/bridge/netfilter/ebt_dnat.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/bridge/netfilter/ebt_snat.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/iptable_nat.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_snmp_basic.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_ftp.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_tftp.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_amanda.ko
/lib/modules/2.6.9-42.ELsmp/kernel/net/ipv4/netfilter/ip_nat_irc.ko
/lib/modules/2.6.9-42.ELsmp/kernel/drivers/net/natsemi.ko