pf и ftp клиенты плюс ftp сервер за nat

[m0ps]

Добрый день! Только начинаю разбираться с freebsd так что просьба сильно не быть . Решил на предприятии внедрить серверы под free. Один поставил шлюзом с нат (использовал pf). Второй будет в локалке, на нем будут крутиться сервисы. Для начала решил поднять FTP в мир и тут столкнулся с проблемой:
для нормальной работы с ftp за натом использовал ftp-proxy. настроил. с любой машины в инет на ftp ходить можно без проблем, но вот когда включаю редирект с внешнего интерфейса на ftp сервер (в /etc/rc.conf добавил строчку:

Код: Выделить всё

ftpproxy_flags="-R 172.16.5.51 -p 21 -b 192.168.1.2"

) с сети в инет на фтп попасть нельзя, ведь входящий трафик заворачивается на сервер в локалке Насколько я понимаю - можно использовать отличный от 21-го порт, но это не вариант. хотелось бы именно доступ по дефолтному порту.
Может у кого есть какие-нибудь соображения на эту тему?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[maradona]

Не понятно как с локалки машины ходят на ftp? через шлюз? или по IP? ДНС есть?
я бы зделал так:
1. на шлюзе поднялбы ДНС кеширующий (если белого имени нет) и с одной зоной в которой прописалбы адрес фтп который в локалке, на виндовых тачках прописуем адрес днс сервера
2. на шлюзе ставим proxy ftp - frox (на сайте есть статья по настройке), PF-ом редиректим на него запросы по 21 порту он будет знать где локальный фтп, порт стандартный, вход открыт из мира и локалки.

[m0ps]

дело не в том. на свой фтп я с локалки без проблем попадаю, ведь сеть и сервер в одной подсети. и в инет на фтп я хожу нормально. на шлюзе работает ftp-proxy. но когда в rc.conf указываю ftpproxy_flags="-R 172.16.5.51 -p 21 -b 192.168.1.2" (до этого выглядит просто ftpproxy_flags="") указав тем самым к какому хосту необходимо пересылать пакеты при обращении на 21-й порт внешнего ip шлюза в инет на фтп попасть не могу, только на свой фтп. с инета на свой фтп тоже без проблем попадаю.
P.S. 172.16.5.x - локалка; 172.16.5.51 - сервер под FreeBSD; 192.168.1.2 - внешний интерфейс. (IP с наружи белый, просто pppoe подымаю adsl модемом)

[maradona]

Код: Выделить всё

в инет на фтп попасть не могу, только на свой фтп. 

вот для этой цели и ставь frox (не прозрачно) на шлюзе и в нет будеш ходить по порту 2121

[m0ps]

maradona,
дак исходящие соединения на внешние фтп редиректятся на порт 8021 ftp-proxy. в седьмой ветке он уже полноценный (по функционалу как в OpenBSD)

[maradona]

maradona,
дак исходящие соединения на внешние фтп редиректятся на порт 8021 ftp-proxy. в седьмой ветке он уже полноценный (по функционалу как в OpenBSD)

я не в курсе 7-еще, не ставил, но так как я написал "не прозрачно" поднять frox, убрать редирект в сторону мира, проблемы соединений по ftp в мире не вижу

[ProFTP]

maradona,
дак исходящие соединения на внешние фтп редиректятся на порт 8021 ftp-proxy. в седьмой ветке он уже полноценный (по функционалу как в OpenBSD)

мопс из lafox.net?

[m0ps]

не... я там даже не зарегистрирован

[goodle]

Народ, может объяснит кто почему при

Код: Выделить всё

nat on $ext_if from <home_lan> to any -> $ext_if

можно спокойно гулять по фтп в инете, а при

Код: Выделить всё

nat on $ext_if from <home_lan> to any port {20, 21, 80}-> $ext_if

отказывается наотрез? Чего ему не хватает?