Пожалуйста, подскажите правила PF для FROX

[Гость]

не могу настроить редирект портов frox в pf
в ipfw все прекрасно работает

Код: Выделить всё

${FwCMD} add fwd log ${IpIn},2121 ${NetIn} tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}

а в pf не могу никак настроить. прошу поделиться конкретными работающими правилами. frox непрозрачный,, слушает 2121 и должен пробрасывать все соединения на внешний интерфейс на 21 порт.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[reLax]

Код: Выделить всё

IntIf=xl0
rdr on $IntIf inet proto tcp from $IntIf:network to !(self) port 21 -> $IntIf port 2121

Но тебе потом все равно придется разрешать соответствующие соединения на интерфейсах.
Я всего-лишь дал редирект, в ответ на твою строку ipfw

Когда редирект у тебя прокатит, юзай, наверное это в он-лайне (допустим, ты запрашиваешь FTP-сервер с адресом 1.1.1.1)

Код: Выделить всё

# tcpdump -netttvvvi pflog0 host 1.1.1.1

А там уже сам смотри

И еще один момент, крайне неприятный в pf. Доступ к внешним FTP с внешнего интерфейса, непосредственно с сервера.
Есть некоторые переменные sysctl, по умолчанию они такие (рэйндж динамических-портов)

Код: Выделить всё

pass in log on $ExtIf inet proto tcp  from any to ($ExtIf) port 49152:65535

Придется разрешить при пассивном FTP как ни крути (ExtIf соответственно внешний сетевой интерфейс)

[Neman]

А может и мне поможете ?
Доки читал, что делаю.
Ставлю frox и он слушает на 127.0.0.1 порт 2121

в /etc/pf.conf
до NAT пишу так

Код: Выделить всё

rdr on $int_if proto tcp from any to any port 2121 -> 127.0.0.1 port 2121

т.е. все с внутреннего интерфеса, что прилетает на порт 2121 я отдаю frox

затем в /etc/pf.conf после NAT там где правила идут пишу такое

Код: Выделить всё

pass in on $ext_if inet proto tcp from port ftp-data to ($ext_if) user proxy flags S/SA keep state

перечитываю правила и не работает доступ к ftp. Может кто-то поделится более полным описанием совсем для чайников?

[zingel]

а что означает в Вашем случае переменная

Код: Выделить всё

$ext_if

[Neman]

$ext_if - внешний интерфейс, который смотрит в интернет

[zingel]

а не догадались сделать правило ещё и

Код: Выделить всё

pass out on

[Neman]

Не догадался, в голове уже каша просто из манов. Может напишите для чайника правило целиком?
Странно вообще получается - в ipfw это делает одна строка, а здесь огород целый городить нужно , куча записей в разных местах конфига...

[zingel]

да не куча, просто у Вас наверняка раньше стоит

Код: Выделить всё

block all

а правило такое же, только с поправкой на out

[Neman]

Да,block all прописано, пробовал разрешить вообще веь трафик - так же не работает . Свой чудовищных конфиг приводить стыдно, поэтому и прошу поделиться куском рабочего конфига Или другим вариантом разрешения полноценной работы с ftp через pf. Пробовал ftp-proxy запустить, но так же не получилось .

[zingel]

приводите свой ужас, ничего страшного

[Neman]

UPD. Спасибо за участие, но пока забил на pf и останусь лучше на ipfw, по крайней мере там я все необходимое делаю худо-бедно.