NAT. Пассивный режми FTP.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
NightRider
проходил мимо

NAT. Пассивный режми FTP.

Непрочитанное сообщение NightRider » 2009-04-25 23:26:14

Есть роутер на Freebsd, во внутренней сетке FTP-шник. Какими средствами можно правильно заставить работать пассивный режим?
ЗЫ: фаервол и нат: ipf+ipnat.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение zingel » 2009-04-25 23:37:35

использовать PASV принудительно.
Z301171463546 - можно пожертвовать мне денег

NightRider
проходил мимо

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение NightRider » 2009-04-26 1:23:41

Что значит принудительно? :smile:

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение zingel » 2009-04-26 1:26:32

то и значит

p.s. в настройках ftp-демона
Z301171463546 - можно пожертвовать мне денег

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение reLax » 2009-04-26 8:13:49

По моему человек имел ввиду другое. Главная проблема пассивного режима + firewall - это то, что порты назначаются в поле DATA IP-дейтаграммы пакета. Из-за этого и проблемы с пакетными фильтрами, работающими на уровне IP :) Например, в pf чтобы юзать ftp с серванта, то приходится открывать рейндж портов на внешнем интерфейсе (другого способа нету)...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение zingel » 2009-04-26 9:22:16

то приходится открывать рейндж
смотря какой ftp-демон и какие пассивные порты указаны
Z301171463546 - можно пожертвовать мне денег

NightRider
проходил мимо

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение NightRider » 2009-04-26 12:24:48

В моем случае это proftpd. MasqueradeAddress поставил на свой внешний, PassivePorts 60000 65535.
Если форвадить кроме 21-го еще и 60000-65535 то все будет работать, но не хотелось бы явно это делать. На сколько я понял для pf есть ftp-proxy, который "сам понимает" когда ему нужно форвадить динамический диапазон, а когда нет. :) В моем случае не pf, а ipf... Есть у кого какие-либо соображения?

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение reLax » 2009-04-26 16:35:28

NightRider писал(а):В моем случае это proftpd. MasqueradeAddress поставил на свой внешний, PassivePorts 60000 65535.
Если форвадить кроме 21-го еще и 60000-65535 то все будет работать, но не хотелось бы явно это делать. На сколько я понял для pf есть ftp-proxy, который "сам понимает" когда ему нужно форвадить динамический диапазон, а когда нет. :) В моем случае не pf, а ipf... Есть у кого какие-либо соображения?
Ну и поставь FTP-прокси какой-нибудь, будь то ftp-proxy или frox. Не понимаю, в чем проблема то ? От пакетного фильтра тебе по большому счету только требуется сделать редирект :)

Аватара пользователя
Dorlas
сержант
Сообщения: 257
Зарегистрирован: 2008-07-18 22:17:49

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение Dorlas » 2009-04-26 20:16:59

В моем случае это proftpd. MasqueradeAddress поставил на свой внешний, PassivePorts 60000 65535.
Если форвадить кроме 21-го еще и 60000-65535 то все будет работать, но не хотелось бы явно это делать. На сколько я понял для pf есть ftp-proxy, который "сам понимает" когда ему нужно форвадить динамический диапазон, а когда нет. :) В моем случае не pf, а ipf... Есть у кого какие-либо соображения?
Помоему, Вы хотите странного...

Для пассивного FTP нормально пробрасывать диапазон портов внутрь.
Для активного FTP нормально давать доступ серваку на любой IP с порта 20 на произвольный порт (any).

И потом - какая у Вас нагрузка ожидается на FTP - сколько одновременных коннектов?

Если менее 100 - до незачем пробрасывать столько портов (5 тысяч) - я бы пробросил маленький диапазоник на 500 портов - более чем достаточно....

Что плохого в том, что 500 закрытых по умолчанию портов будет проброшено на FTP...они же будут открыты только в случае установленного коннекта (и доступны только для установившего соединение - см. ISN).

NightRider
проходил мимо

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение NightRider » 2009-04-27 16:47:26

reLax писал(а):Ну и поставь FTP-прокси какой-нибудь, будь то ftp-proxy или frox. Не понимаю, в чем проблема то ? От пакетного фильтра тебе по большому счету только требуется сделать редирект :)
frox - это ftp-прокси "изнутри-наружу", а мне нужно наоборот. ftp-proxy - он интегрируется с pf... В общем ни то ни другой вариант мне не подходят.
Dorlas писал(а): Помоему, Вы хотите странного...

Для пассивного FTP нормально пробрасывать диапазон портов внутрь.
Для активного FTP нормально давать доступ серваку на любой IP с порта 20 на произвольный порт (any).

И потом - какая у Вас нагрузка ожидается на FTP - сколько одновременных коннектов?

Если менее 100 - до незачем пробрасывать столько портов (5 тысяч) - я бы пробросил маленький диапазоник на 500 портов - более чем достаточно....

Что плохого в том, что 500 закрытых по умолчанию портов будет проброшено на FTP...они же будут открыты только в случае установленного коннекта (и доступны только для установившего соединение - см. ISN).
Выходит что действительно хочу странного... А еще странне то что в ipf реализовано средство для доступа внутренних клиентов на внешние ftp в активном режиме, но не реализован доступ внешних клиентов на внутренний ftp сервер в пассивном... Придется и правда "жостко" пробросить.

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение Sadok123 » 2009-04-28 10:38:30

В чем проблема - не понятно. Есть "IP Filter Based Firewalls HOWTO" там все рассказано. Боязнь открывать некий диапазон тоже смущает. Ну, откройте - ничего не случится. Кто там отвечать будет, если сервер про это не знает?

Аватара пользователя
Dorlas
сержант
Сообщения: 257
Зарегистрирован: 2008-07-18 22:17:49

Re: NAT. Пассивный режми FTP.

Непрочитанное сообщение Dorlas » 2009-04-28 11:43:14

Напоминает анекдот про неуловимого Джо...