PF + nat + ftpd

[osipen]

Задача. Имеется шлюз(freebsd + nat + pf) и локальная сеть в нутри которой расположен ftp-сервер(freebsd + ftpd). Нужно предоставить доступ к ftp-серверу из интернета. Проблема такая если открыть браузером то все в порядке, а через тотал коммандер(команда POST не выполнена). Я понимаю, что тут что то с посивным режимом, но не могу доконца понять что? ибо браузер у меня для соединения также использует пасивный режим.

Код: Выделить всё

prov_if="rl0" # Внешний сетевой интерфейс
int_if="fxp0" # Внутренний сетевой интерфейс
internal_net="{192.168.0.0/24}" # локалка
me="{192.168.0.1}"

scrub in all

nat on $prov_if from $internal_net to any -> $prov_if  # натим пользователей в интернет
# Натим ftp и пасивные порты на 192.168.0.250 (нужно сделать побыстрее решил не заморачиватся с ftp-proxy)
rdr on $prov_if proto tcp from any to any port 21 -> 192.168.0.250
rdr on $prov_if proto tcp from any to any port ftp-data -> 192.168.0.250
rdr on $prov_if proto tcp from any to any port 49152:65535 -> 192.168.0.250

# Открыл все что бы развеить сомнения относительно некоторых правил.
pass in all
pass out all

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

активный не пробовал?

[osipen]

Скажем так интересней разобраться с проблемой, а так получается я так и не узнаю в чем же было дело.

[Daywalker]

А попробовать указать после

Код: Выделить всё

-> 192.168.0.250

нужные порты

Код: Выделить всё

-> 192.168.0.250 port 21
-> 192.168.0.250 port ftp-data
-> 192.168.0.250 port 49152:65535

Может не отрабатывает без конкретного указания портов?

[osipen]

Разве я не конкретно указал? Как тогда надо указать?

[Daywalker]

Разве я не конкретно указал? Как тогда надо указать?

Код: Выделить всё

rdr on $prov_if proto tcp from any to any port 21 -> 192.168.0.250 port 21

[osipen]

тоже самое.
ошибка которую выводит Total Commander:
Команда PORT не выполнена.

[paranoidchaos]

поставь из портов phpwebftp и там есть галочка пассивного режима если не сработает значить смотри в сторону настроек самого фтп сервера

[osipen]

C ftp сервером полный порядок проверял, тут что то с переброской портов. Не пойму что

[Daywalker]

C ftp сервером полный порядок проверял, тут что то с переброской портов. Не пойму что

Значит Total Commander как клиент FTP не очень. Попробуй другие клиенты CuteFTP, FAR

[osipen]

Возможно не очень ну я же не могу заставить все пользоваться другим клиентом

[paranoidchaos]

используй MC миднайт коммандер ))))

[Daywalker]

Возможно не очень ну я же не могу заставить все пользоваться другим клиентом

Если клиент понятливый то просто объяснить ему, что реализация FTP-клиента в тотале кривая, что Тотал в первую очередь файловый менеджер, а все остальное это расширение возможностей.

P.S. А сам пробовал другие FTP-клиенты использовать? (работает/нет?)

[osipen]

Пробовал какието работают какието нет, mc - работает. Но все дружно соединяются очень долго, сам тотал ни причем просто надо настроить грамотно pf. К примеру если поставить ftp на это шлюз то все работает в лет а из локалки не хочет, почему не понятно. Ощущения такие что либо я не те порты перекидываю или просто они не перекидываются.

[fr33man]

Блин... Ну посмотри tcpdump'ом, на какие порты лезет total commander... Наверняка, он выбирает порт < 49152.

[Daywalker]

или выставить в тотале какие порты использовать при ftp

[Proftp]

Код: Выделить всё

add allow ip from any 49151-65535 to any

add 270 allow ip from any to me  49151-65535
add 280 allow ip from me to any  49151-65535

[fr33man]

Там Pf используется. ))

[osipen]

ок, а почему тогда не срабатывают правила?