"Itt az a kerdes, hogy a 21-es port atiranyitasa eleg-e ahhoz, hogy a NAT helper modul beinduljon, es a rakovetkezo, random portra erkezo csomagot is atdobja a masik gep fele. Mert szerintem nem."
De elég, éppen ez az egész értelme. Méghozá így:
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 21 -j DNAT --to-destination 2.2.2.2
iptables -t nat -A POSTROUTING -p tcp -d 2.2.2.2 --dport 21 -j SNAT --to-source 1.1.1.1
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -d 2.2.2.2 --dport 21 -j ACCEPT, ahol 1.1.1.1 a tűzfal IP-je, 2.2.2.2 az FTP szerver IP-je. (Moduláris kernel estén az nf_nat_ftp modul betöltése szükséges.)
"Ja, es ha netfilter alatt a -j REDIRECT -re gondolsz, megsugom, hogy az csak egy gepen beluli portatiranyitas mellett mukodik."
Nem arra gondoltam, lásd fent.
"Senki nem vitatkozik azon, hogy a Linux netfilter mennyire rendes"
Ezért mondtam az előbb, hogy nem tudtam hova tenni a rendes jelzőt. A lényeg az belőle, hogy te azt mondtad, mindenképpen kell porttartomány megadása az natoláshoz, én pedig azt mondtam, hogy az a helperek feladata normális esetben. Helper használata esetén csak a control connection portját kell a tűzfalszabályba beírni explicite.