作者 主題: [問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄  (閱讀 20227 次)

0 會員 與 1 訪客 正在閱讀本文。

mega

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
之前已經參考過這篇
http://phorum.study-area.org/viewtopic.php?t=8271
還有鳥哥的教學, 依然百思不得其解
只好斗膽向各位學長提出問題

架設環境描述 :
<Server> : RedHat Linux 9.0
<FTP> : ProFTP-1.2.9

我的 FTP 放在 ip 分享器後面, 使用 private ip, 我設定成使用 passive mode 連接
共使用到 5 個 ports, proftpd.conf 的設定如下
代碼: [選擇]
PassivePorts   20001   20005

我把 port 21 和上面 5 個 ports 都直接對應到 ip 分享器的外部
就是開啟虛擬伺服器那個功能
當然防火牆的部分也給它通過

請朋友幫忙測試, 都是只有登入 ok, 出現歡迎訊息
但是無法取得目錄列表

我自己在同一區網中測試一切 ok
我猜這樣應該是 NAT 擋到了連線用的 port

只是不知道除了 command port 21, 傳資料用的 passive port
還需要開放或對應哪些 port  :oops:
color=#009999]
Are you kidding?  (你是凱蒂嗎?)
No, I am serious. (不,我是喜瑞兒)
[/color]

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #1 於: 2004-09-28 12:53 »
若你的 server 在 NAT 內, 而你的 client 沒有在 nat 內, 那就不要用 passive 了.

要不然, 你用 iptables 來做 nat, 然後載入如下兩個 modules:
ip_conntrack_ftp
ip_nat_ftp

洋蔥叔叔

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 830
    • 檢視個人資料
    • 洋蔥叔叔的隨意漫談電腦、網路、.NET、軟體本地化、雜七雜八
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #2 於: 2004-09-28 13:25 »
測試的client確定用passive嗎?log裡寫什麼?

mega

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #3 於: 2004-09-28 21:26 »
謝謝學長們的回覆, 我已經成功了  <(_ _)>

我先關閉 passive ports 的功能
然後將預設的 21, 20 埠對外開放
居然.... 這樣就可以了

不過, 如果 client 端有裝 XP 內建的防火牆, 就會無法連線
無法建立連線時, 用 netstat 指令下去查網路狀態, 問題出在這一條連線
代碼: [選擇]
192.168.1.5: 47726       192.168.1.2: auth        SYN_SENT

XP 的 firewall 會擋住 113 這個埠, 造成一開始建立連線時失敗
對於這個埠的功能還不是很清楚, 用大神去查了一下
大概知道這是作確認 client 身分用的

不知道有沒有好一點的說明文件可以解釋一下 113 port
英文網頁也沒關係, 大神找出來的東西多到讓我眼花撩亂....  @@
color=#009999]
Are you kidding?  (你是凱蒂嗎?)
No, I am serious. (不,我是喜瑞兒)
[/color]

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #4 於: 2004-10-26 15:08 »
我在NAT後面也架了個小ftp,遇到了一個不解的問題。
(所謂的NAT其實是Microsoft 的wireless webstation,提供簡易的NAT功能)

(以下是以PORT MODE連線,以server的觀點出發,client有實體ip)
我把ftp開在port 21的時候,運作上都沒問題,可以LIST, WRITE都OK
但是一把port開到5XXX or 其他(>1024)的時候,就會不能用ls(ftp-data建立不起來)
可是這不太合理,因為port 20是"連到(connect to)"client所以應該不至於被firewall檔下來,而且把port 設成 21的時候可以運作。我實在不了解為什麼換了個listen port,ftp-port會有影響。

簡單說:(under PORT MODE)ftp server port設在21時可以完全運作,設在其他port的時候(e.g 5365)可以login,ftp-data建立不起來(沒有辦法做LIST)

我用ethereal capture了一下port不是21的情況,發現問題發生在server以port 20要跟client connect的時候handshake沒有辦法完成;(server先傳個SYN)client傳回的flag為RST,ACK。

我在想用port 21跟用port 5XXX會造成ftp-data建立上的差別嗎? firewall有這麼聰明port 21的時候ftp-data就給用,其他就不行嗎?用什麼port listen跟用什麼port 來做ftp-data試兩個分開的事吧!

可以幫我解答這個疑惑嗎? 謝謝

洋蔥叔叔

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 830
    • 檢視個人資料
    • 洋蔥叔叔的隨意漫談電腦、網路、.NET、軟體本地化、雜七雜八
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #5 於: 2004-10-27 02:32 »
要看Implementation
因為NAT基本上只會在Port21來track ftp連線
我想你應該了解,在用active mode建立ftp-data時是由伺服器發起連線給client
所以NAT Router必須要看的到ftp連線裡的PORT指令,才能判斷client會用的是哪個port, 並forward。
所以造成兩個問題,一就是你所遇到的,在非standard port上的ftp連線一般NAT Router不把它當成是ftp連線,所以不會去track(ie 看PORT)
Linux下的iptables可以在modprobe ip_conntrack_ftp/ip_nat_ftp時給ports參數,或是直接改原始碼(嘿,Open source的好處)。不過當然你無法掌控FTP Server的Port的話就有點困難。

第二個問題是如果你ftp session是加密(SSL, TLS etc)的話那也無法Track, 因為Router看不到PORT指令。

有沒有解決方案?有,用Passive mode,現在應該很少FTP不支援Passive。

以上小弟見解

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #6 於: 2004-10-27 12:28 »
引述: "Demonbane"
要看Implementation
因為NAT基本上只會在Port21來track ftp連線
我想你應該了解,在用active mode建立ftp-data時是由伺服器發起連線給client
所以NAT Router必須要看的到ftp連線裡的PORT指令,才能判斷client會用的是哪個port, 並forward。
所以造成兩個問題,一就是你所遇到的,在非standard port上的ftp連線一般NAT Router不把它當成是ftp連線,所以不會去track(ie 看PORT)

不知道事不事自己看不懂,但是上面看起來似乎是在說 client在NAT裡面的情形。但是我遇到的是server在NAT裡面,所以當server要連到client(client在listen, active mode)的時候(dftp-data建立時),server端的NAT應該不至於把packet檔下來,畢竟這可以想成是一個普通的對外連線。

若是您原本描述的是上述的情況,可以提供一個參考的solution嗎? 謝謝

我現在在懷疑會不會client其實是在一個NAT後面,而我不知道。

洋蔥叔叔

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 830
    • 檢視個人資料
    • 洋蔥叔叔的隨意漫談電腦、網路、.NET、軟體本地化、雜七雜八
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #7 於: 2004-10-27 14:24 »
那大概是client端有NAT或防火牆,不見得完全是你的問題。
solution的話ftp daemon用一些特定的port來做Passive,然後在NAT Router裡把那些port做port forwarding.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #8 於: 2004-10-27 15:05 »
若是 SERVER side NAT 的話, 用 passive 反而不行. 因為 NAT 會視之為 NEW connetction.
這時, 得靠 ip_conntrack_ftp module 來輔助判別是否為 RELATED connection,
再透過 ip_nat_ftp module 來建立 nat 連線.

如 demonbane 兄所言, ip_conntrack_ftp 與 ip_nat_ftp 預設只會檢視 port 21 的封包.
若是用非標準的 port 的話, 那就需要在載如 moudles 指定參數了...

這部份我沒實作過, 或許請樓上幫大家測測看, 然後回來分享所得?

洋蔥叔叔

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 830
    • 檢視個人資料
    • 洋蔥叔叔的隨意漫談電腦、網路、.NET、軟體本地化、雜七雜八
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #9 於: 2004-10-27 15:25 »
netman大哥:
我的意思是說Server可以控制只用幾個特定的port來做Passive
然後在Server端的NAT上那幾個port做port forwarding(當然Server端也不能檔那幾個port)
所以說,server端的NAT有沒有ip_conntrack_ftp跟ip_nat_ftp都沒有差,因為data channel的port自己指定。

hmm 還是我哪裡想法錯誤?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #10 於: 2004-10-27 15:32 »
可以...
若 destination port 是故定的, 那是可行的.
可先試試看?

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #11 於: 2004-10-28 07:57 »
引用
如 demonbane 兄所言, ip_conntrack_ftp 與 ip_nat_ftp 預設只會檢視 port 21 的封包.
若是用非標準的 port 的話, 那就需要在載如 moudles 指定參數了...

ip_conntrack_ftp,ip_nat_ftp不是用在解決client under passive mode的狀況嗎?
假如我的認知是正確的話:
client在NAT後面的話,因為server送出的SYN packet會被檔下來,導致無法完成tcp handshaking。
所以ip_conntrack_ftp會檢視command port裡面的PORT指令,做適當的DNAT,wait for the connection from server side.

假如是這樣的話,ip_conntrack_ftp好像是在解決client side的NAT問題。...?

希望我沒有弄錯,假如有錯的話,請務必指正我,謝謝


引用
我的意思是說Server可以控制只用幾個特定的port來做Passive
然後在Server端的NAT上那幾個port做port forwarding(當然Server端也不能檔那幾個port)
所以說,server端的NAT有沒有ip_conntrack_ftp跟ip_nat_ftp都沒有差,因為data channel的port自己指定。


我也試過上述的辦法,port forwarding一切都很順利,唯一的障礙就是ftp server在傳回PASV指令時(ip, port),內容是以自己local的ip address為destination(e.g. 192.168.1.5),所以在區網外的client怎樣也rout不到server。

我在想這應該可以由server的configuration解決,不過我還是想先搞清楚為什麼active mode沒有辦法建立ftp-data connection。

謝謝

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #12 於: 2004-10-28 10:14 »
default 是 21 port .
那是 module 會看且"只"會看的....

要是, 若用的不是 21 port 呢?
那你就要在載入 modules 下參數了.

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #13 於: 2004-10-28 13:06 »
引述: "netman"
default 是 21 port .
那是 module 會看且"只"會看的....

要是, 若用的不是 21 port 呢?
那你就要在載入 modules 下參數了.


><"我有點混亂,感覺是在討論不同的事情

上面的不是在描述client端 NAT的情形嗎?可是...我是在server端的NAT碰到問題
我想從server端解決這個問題,因為我不能永遠要求所有的ftp client都特別修改module參數來連到我吧

active mode下面,建立數據通道通道時,client是listening on random port,跟21沒有關係。上面有關module的事...是解決client端前面有firewall的情況!

若是學長們沒看錯我提的問題的話,我覺得我對ftp的連線流程有盲點...

更簡短我的問題好了:
有什麼可能在active mode下面,server端在建立數據通道的時候會fail?

(假設client端沒有firewall,...雖然我開始強烈懷疑我測試用的client有可能在firewall後面)

可不可以幫我看看這個敘述正不正確:
假如ftp server不用standard port的話,很明顯的,只要是在NAT後面的client都不能建立數據通道。

真的很謝謝

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #14 於: 2004-10-28 13:17 »
是的, 我講的也是 server side 的 NAT....  ^_^
不過, 前面不是提到過"我在想用port 21跟用port 5XXX會造成ftp-data建立上的差別嗎?"

我只是針對這部份來講, 其他我就沒在意了...

或是, 先看看:
http://www.study-area.org/linux/servers/linux_nat.htm#modules

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #15 於: 2004-10-28 13:29 »
更新一則,

剛剛試了一下passive mode,可以用
port forwarding就跟Demonbane兄說的一樣,

引用
Server可以控制只用幾個特定的port來做Passive
然後在Server端的NAT上那幾個port做port forwarding(當然Server端也不能檔那幾個port)


跟以前不一樣的是,我在cofiguration裡面指明了NAT的ip address,所以ftp server在傳回PASV指令時,會是正確的ip address,而非區域網路裡面的ip address了。

現在passive mode可以正常運作


active mode...還請幫忙了。

我自己想的答案:  client是在firewall後面

一個小抱怨關於passive mode所需指定NAT ip:假如NAT ip是浮動式的話,那豈不是要常常edit設定檔,然後restart server了嗎?

謝謝

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #16 於: 2004-10-28 13:45 »
引述: "moocow"
一個小抱怨關於passive mode所需指定NAT ip:假如NAT ip是浮動式的話,那豈不是要常常edit設定檔,然後restart server了嗎?

你說的指定 ip 是說 iptables 的設定嗎?
若然, 乾脆將 -d x.x.x.x 砍掉不用就好了啊.
因為從 routing 來說, 能從 external 進來的 inbound, 已經是這個 destination 了...

至於 passive mode, 在 server side NAT 只要有 SNAT 設好就行, 無須 modules .
但這時則轉到 client side NAT 要加載 modules 或 extra rules 了...

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #17 於: 2004-10-28 13:50 »
引述: "netman"
是的, 我講的也是 server side 的 NAT....  ^_^
不過, 前面不是提到過"我在想用port 21跟用port 5XXX會造成ftp-data建立上的差別嗎?"

我只是針對這部份來講, 其他我就沒在意了...

或是, 先看看:
http://www.study-area.org/linux/servers/linux_nat.htm#modules


原來如此~
但是server side的NAT有什麼理由要監視21 port呢?
只有在passive mode下才需要吧。active mode...我看不到需要的理由。
(這長串的疑問是針對active mode提出的@@")

不過是針對"用port 21跟用port 5XXX會造成ftp-data建立上的差別"的話,我可以了解。因為ip_conntrack_ftp 與 ip_nat_ftp 預設只會檢視 port 21 的封包,所以當port非21時,NAT就不知道需要做那些SNAT了(passive mode)。

該篇文章我已細讀好些次了,希望有正確了解

多謝指教

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #18 於: 2004-10-28 14:13 »
active 與 passive 差在 PORT command 是從 server->client 還是從 client->server .
但都是用 command channel 來送 PORT command 的.
而 command channel 預設用 21 .

請參考:
http://www.study-area.org/linux/servers/linux_nat.htm#ftp

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #19 於: 2004-10-28 14:35 »
引述: "netman"
active 與 passive 差在 PORT command 是從 server->client 還是從 client->server .
但都是用 command channel 來送 PORT command 的.
而 command channel 預設用 21 .

請參考:
http://www.study-area.org/linux/servers/linux_nat.htm#ftp


這個我想我在這一兩天的研究下,已經有清楚的了解

不懂的是學長說server side的NAT要監視port 21的理由
因為active mode下,server side 的NAT並不需要了解PORT command裡面包含的IP address & port,所以不用監視port 21。

我想學長指的是passive mode吧


我必須要強迫自己發問了,我會問不完@@"

我大概有一個輪廓了。不好意思,問題那麼多。
謝謝指教,我又多學了一點

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #20 於: 2004-10-28 14:41 »
passive 也好 active 也罷...
關鍵是 NAT 如何得知 connection 的存在?

我上面給的 link, 罰你看三遍!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #21 於: 2004-10-28 14:49 »
看完了嗎? 看完了我再跟你講...
(搞不好你已懂了, 我也就不用講了...)

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #22 於: 2004-10-29 07:58 »
引用
passive 也好 active 也罷...
關鍵是 NAT 如何得知 connection 的存在?


唔~
學長指的是應該最一開始建立連線的時候嗎
這裡,server side的NAT需要做port forwarding在port 21

link這次看完真的有三遍了

若這不是原因的話,請公佈答案吧
謝謝

update:
active mode下面的問題...結論是測試的client有防火牆XD,所以non-standard port不會work。
後來換一台測就ok了。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #23 於: 2004-10-29 10:44 »
哈... 是的, 我相信你已有答案了.

不知其他讀者是否能夠理解?
為了方便, 我這裡簡單歸納一下好了:

在 active mode 下:
client NAT 需設 DNAT(或 modules) 而 server NAT 不需要.
這是因為 ftp-data connection 是從 server 到 client 端的.
server NAT 會有 outgoing 的 NAT masquerading record, 因此回來的封包只需作 De-Masquerading 就好了.
但 client 端會將之視為 NEW connection , 若沒有 DNAT 設定或 modules 幫忙, 則封包不會抵達 client 端.
假如用 DNAT 規則的話, 則需"事先"要配置好, 這不方便, 也容易產生安全上的漏洞.
若換成 modules(conntrack & nat), 則可"動態"的建立連線.
但問題是: module 如何得知要怎麼建呢?
原理是要讀取 ftp command-channel 的 PORT 命令就行...
若 ftp command-channel 用標準的 21 , 那 modules 只要監看 port 21 的封包就抓得到了.
但問題是, 如果 command-channel 不是標準的 21 呢?
那也簡單, 在載入 modules 時指定不就行了?!

好了, 換成 passive mode 又如何?
server NAT 需設 DNAT(或 modules) 而 client NAT 不需要.
這是因為 ftp-data connection 是從 client 到 server 端的.
client NAT 會有 outgoing 的 NAT masquerading record, 因此回來的封包只需作 De-Masquerading 就好了.
但 server 端會將之視為 NEW connection , 若沒有 DNAT 設定或 modules 幫忙, 則封包不會抵達 server 端.
(剩下的, 還要我說嗎?....  ^_^ )

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #24 於: 2004-10-29 11:29 »
看完觀念更完整了,加強了一些不確定的地方
thanks again



一個小疑問關於client NAT用modules(conntrack & nat)建立ftp-data connection

active mode下,
ftp command-channel若不是用標準port
對在NAT裡面的client實在很不方便!
為了要能抓到PORT command,client必須要先要求NAT admin修改module的參數
網管不可能整天改這些參數,client要用個ftp更是沒有效率

想法:
用non-standrad port的ftp server最好能提供passive mode
這樣對在NAT後面的client比較便利


我想要用non-standrad port只有一個理由,為了避免不必要的試探
(這樣應該有幫助吧!)

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #25 於: 2004-10-29 19:18 »
passive mode 是由 client 端決定的, 而不是說"ftp server最好能提供passive mo".

只需在 ftp command 裡打 passive 或 passv 就行.
很多 ftp client 甚至預設上就如此.

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #26 於: 2004-10-30 01:24 »
我沒說清楚:p
"提供passive mode"指的是在NAT後面的server要configure好
不然passive mode會不正常運作
設定像是上面說NAT的port forwarding, 還有server ip address的指定。

在vsftpd我要先設好pasv_address才能正常運作
另外passive mode也是可以被disable的
所以有時client要用passive mode是要看ftp server~

我想應該是這樣吧!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #27 於: 2004-10-30 09:19 »
若 server 端要設 passive address 的話,
那就沒發揮前述 modules 的供能了啊...
modules 之所以有用, 就是不必設 client 或 server 了.

moocow

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #28 於: 2004-10-30 15:43 »
所以module會修改server送出的PASV的回應囉!
(把local ip address改成NAT的ip address
e.g. PASV 192.168.1.5,14,5 -> PASV 61.71.81.91,14,5)

對module有大致的概念,但實作上還沒機會,不是很了解怎麼運作
(我是在一個MS的wireless webstation後面)

不過我了解學長指的"不用設定passive mode"了,謝謝^^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
[問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄
« 回覆 #29 於: 2004-10-30 20:42 »
不只修改, 還有"建立".

1) 若你能"事先"設好 NAT 規則, 那就不需用 module.
2) 否則, 請找 module 幫忙.