NAT. Пассивный режми FTP.

[NightRider]

Есть роутер на Freebsd, во внутренней сетке FTP-шник. Какими средствами можно правильно заставить работать пассивный режим?
ЗЫ: фаервол и нат: ipf+ipnat.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

использовать PASV принудительно.

[NightRider]

Что значит принудительно?

[zingel]

то и значит

p.s. в настройках ftp-демона

[reLax]

По моему человек имел ввиду другое. Главная проблема пассивного режима + firewall - это то, что порты назначаются в поле DATA IP-дейтаграммы пакета. Из-за этого и проблемы с пакетными фильтрами, работающими на уровне IP Например, в pf чтобы юзать ftp с серванта, то приходится открывать рейндж портов на внешнем интерфейсе (другого способа нету)...

[zingel]

то приходится открывать рейндж

смотря какой ftp-демон и какие пассивные порты указаны

[NightRider]

В моем случае это proftpd. MasqueradeAddress поставил на свой внешний, PassivePorts 60000 65535.
Если форвадить кроме 21-го еще и 60000-65535 то все будет работать, но не хотелось бы явно это делать. На сколько я понял для pf есть ftp-proxy, который "сам понимает" когда ему нужно форвадить динамический диапазон, а когда нет. В моем случае не pf, а ipf... Есть у кого какие-либо соображения?

[reLax]

В моем случае это proftpd. MasqueradeAddress поставил на свой внешний, PassivePorts 60000 65535.
Если форвадить кроме 21-го еще и 60000-65535 то все будет работать, но не хотелось бы явно это делать. На сколько я понял для pf есть ftp-proxy, который "сам понимает" когда ему нужно форвадить динамический диапазон, а когда нет. В моем случае не pf, а ipf... Есть у кого какие-либо соображения?

Ну и поставь FTP-прокси какой-нибудь, будь то ftp-proxy или frox. Не понимаю, в чем проблема то ? От пакетного фильтра тебе по большому счету только требуется сделать редирект

[Dorlas]

В моем случае это proftpd. MasqueradeAddress поставил на свой внешний, PassivePorts 60000 65535.
Если форвадить кроме 21-го еще и 60000-65535 то все будет работать, но не хотелось бы явно это делать. На сколько я понял для pf есть ftp-proxy, который "сам понимает" когда ему нужно форвадить динамический диапазон, а когда нет. В моем случае не pf, а ipf... Есть у кого какие-либо соображения?

Помоему, Вы хотите странного...

Для пассивного FTP нормально пробрасывать диапазон портов внутрь.
Для активного FTP нормально давать доступ серваку на любой IP с порта 20 на произвольный порт (any).

И потом - какая у Вас нагрузка ожидается на FTP - сколько одновременных коннектов?

Если менее 100 - до незачем пробрасывать столько портов (5 тысяч) - я бы пробросил маленький диапазоник на 500 портов - более чем достаточно....

Что плохого в том, что 500 закрытых по умолчанию портов будет проброшено на FTP...они же будут открыты только в случае установленного коннекта (и доступны только для установившего соединение - см. ISN).

[NightRider]

Ну и поставь FTP-прокси какой-нибудь, будь то ftp-proxy или frox. Не понимаю, в чем проблема то ? От пакетного фильтра тебе по большому счету только требуется сделать редирект

frox - это ftp-прокси "изнутри-наружу", а мне нужно наоборот. ftp-proxy - он интегрируется с pf... В общем ни то ни другой вариант мне не подходят.

Помоему, Вы хотите странного...

Для пассивного FTP нормально пробрасывать диапазон портов внутрь.
Для активного FTP нормально давать доступ серваку на любой IP с порта 20 на произвольный порт (any).

И потом - какая у Вас нагрузка ожидается на FTP - сколько одновременных коннектов?

Если менее 100 - до незачем пробрасывать столько портов (5 тысяч) - я бы пробросил маленький диапазоник на 500 портов - более чем достаточно....

Что плохого в том, что 500 закрытых по умолчанию портов будет проброшено на FTP...они же будут открыты только в случае установленного коннекта (и доступны только для установившего соединение - см. ISN).

Выходит что действительно хочу странного... А еще странне то что в ipf реализовано средство для доступа внутренних клиентов на внешние ftp в активном режиме, но не реализован доступ внешних клиентов на внутренний ftp сервер в пассивном... Придется и правда "жостко" пробросить.

[Sadok123]

В чем проблема - не понятно. Есть "IP Filter Based Firewalls HOWTO" там все рассказано. Боязнь открывать некий диапазон тоже смущает. Ну, откройте - ничего не случится. Кто там отвечать будет, если сервер про это не знает?

[Dorlas]

Напоминает анекдот про неуловимого Джо...