IPFW - помогите разобраться

[terminus]

Одно правило с via, например:

Код: Выделить всё

via fxp0

при работе, на самом деле разворачивается в два, по одному для проходов IN и OUT:

Код: Выделить всё

recv fxp0 in
xmit fxp0 out

Это для удобства...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[risk94]

все равно не работает
${oif} - внешний интерфейс

Код: Выделить всё

${fwcmd} add allow log tcp from any to 172.16.0.221 80 out via ${oif}
        ${fwcmd} add allow log tcp from 172.16.0.221 80 to any established

[terminus]

наглядная схема из статьи nuclight (может поможет)

[paradox]

кошмар
даже я не понял что он там нарисовал
а что говрить про обычных пользователей

[risk94]

я вашпе ниче не понялъ
))

зеленые и красные на каком этапе ? хз. блин тоска

[terminus]

статью читали? http://nuclight.livejournal.com/124348.html
На ральцахЪ рассказано как ходят пакеты через ipwf и divert в частности.
Вооружившись этим знанием можно познать дзенЪ многое переосмыслить...

зкленое это то что уходит из ipfw в divert на проходе IN. Красное - это то что уходит из ipfw в divert на проходе OUT (я так нарисовал так как стрелочки перекрывались - шоб понятней было). Сзема - иллюстрация к статье

[risk94]

прочитал ... хелп...

[terminus]

sysctl .one_pass как выставлен?

[paradox]

прочитал ... хелп...

наша песня хороша начинай сначала)

[risk94]

http пробросил. ftp только авторизируется и все. листинг дирриктории не происходит

Код: Выделить всё

ftp> o 190.*.*.254
Connected to 190.*.*.254.
220 ProFTPD 1.3.1 Server (Private FTP server.) [190.*.*.254]
Name (190.*.*.254.:risk): test
331 Password required for test
Password:
230 User test logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful

... куда рыть?

[paradox]

читать мануалы про пассив и актив режим ftp

[risk94]

таким маном раскуривался. в конфиге фтпшнега указал пассив и маскарадинг адреса.

фаер:

Код: Выделить всё

        # FTP
        ${fwcmd} add allow tcp from not ${inet}:${imask}  to 172.16.0.221 50000-50100
        ${fwcmd} add allow tcp from 172.16.0.221 50000-50100 to any established 

ftp:

Код: Выделить всё

PassivePorts            50000 50100                           
MasqueradeAddress       190.*.*.254

я так понимаю фаер?

[terminus]

Код: Выделить всё

kldload alias_ftp.ko

[risk94]

Растолкуйте пожалуйста значение вот этих правил стоящих после дивертов

Код: Выделить всё

${fwcmd} add pass tcp from any to any setup
${fwcmd} add pass tcp from any to any established

[Syward]

Код: Выделить всё

# cat /usr/src/sys/i386/conf/KERNEL|grep 'IPFILTER'
options         IPFILTER
options         IPFILTER_LOG

Код: Выделить всё

# cat /etc/ipnat.rules
map sk0 192.168.100.0/24 -> 172.27.43.92 proxy port ftp ftp/tcp
map sk0 192.168.100.0/24 -> 172.27.43.92 portmap tcp/udp auto
map sk0 192.168.100.0/24 -> 172.27.43.92
map sk0 192.168.100.100/32 -> 172.27.43.92/32
rdr sk0 172.27.43.92/32 port 80 -> 92.168.100.100 port 80
rdr sk0 172.27.43.92/32 port 20 -> 92.168.100.100 port 20
rdr sk0 172.27.43.92/32 port 21 -> 92.168.100.100 port 21

так не проще?

[risk94]

Растолкуйте пожалуйста значение вот этих правил стоящих после дивертов

Код: Выделить всё

${fwcmd} add pass tcp from any to any setup
${fwcmd} add pass tcp from any to any established

растолкуйте пжалста.

[paradox]

ну это скорее вопрос к тому что их так написал

[Kos]

Растолкуйте пожалуйста значение вот этих правил стоящих после дивертов

Код: Выделить всё

${fwcmd} add pass tcp from any to any setup
${fwcmd} add pass tcp from any to any established

растолкуйте пжалста.

setup - новое подключение.
established - уже установленное подключение.