PF и FTP в passive mode

VVereVVolf

Есть боевой сервер на FreeBSD 8 с фаерволом PF Политика настроек фаервола блочить все, разрешить некоторое. Закрыты все порты кроме использующихся на сервере, суть проблемы при коннекте на сервер к FTP в passive mode клиент зависает MLSD (при получение списка директорий), причина то понятна клиенту отсылается рамдомный порт для коннекта к серверу, ну а на сервере то все прикрыто, какие есть возможны выходи чтоб не открывать все порты

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

VVereVVolf

как временную меру я сделал так
pass in quick on $ext_if proto tcp from any to any port 20 flags S/SA keep state ## разрешаем 20 порт
pass in quick on $ext_if proto tcp from any to any port 21 flags S/SA keep state ## разрешаем 21 порт
pass in quick on $ext_if proto tcp from any to any port > 49151 keep state ## разрешаем порты выше 49151 для passive FTP mode

tom.cat · Непрочитанное сообщение **tom.cat** » 2013-12-02 17:33:39

Обновлю некротемку. Не работает ftp в пассивном режиме, хотя в правилах разрешено:

Код: Выделить всё

pass in on $ext_if proto tcp from any to $ext_if port {20,21,49152:65535} flags S/SA synproxy state

BlitzKrieg

Подключиться на порт команд получается?

tom.cat · Непрочитанное сообщение **tom.cat** » 2013-12-03 13:29:15

Да, лог с подробностями:

Код: Выделить всё

$ ftp server.info
Connected to server.info.
220 ProFTPD 1.3.4d Server (Dedicated FTP Server) [server]
Name (server.info:user): user
331 Password required for user
Password:
230 User user logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||39650|)
ftp: Can't connect to `server:39650': Operation timed out
200 EPRT command successful
150 Opening ASCII mode data connection for file list

Потом выводит список каталогов. Но в filezilla клиенте соединение просто умирает.

BlitzKrieg

Вероятно это порт 39650 в правиле я его у Вас не вижу. Для пассивного режима нужно открыть диапозон портов ширше либо указать серверу использовать только разрешенный Вами диапозон.

tom.cat · Непрочитанное сообщение **tom.cat** » 2013-12-03 13:49:59

BlitzKrieg писал(а):Вероятно это порт 39650 в правиле я его у Вас не вижу. Для пассивного режима нужно открыть диапозон портов ширше либо указать серверу использовать только разрешенный Вами диапозон.

Да, нашел в мануалах для proftpd:

Код: Выделить всё

PassivePorts 49152 65534

Ща попробую.
=================
P.S. Спасиб, заработало.

forum.lissyara.su

PF и FTP в passive mode

PF и FTP в passive mode

Услуги хостинговой компании Host-Food.ru

Re: PF и FTP в passive mode

Re: PF и FTP в passive mode

Re: PF и FTP в passive mode

Re: PF и FTP в passive mode

Re: PF и FTP в passive mode

Re: PF и FTP в passive mode