IPFilter

[Дмитрий Захаревич]

Есть такая проблема, второй день бьюсь с настройкой ipfilter есть тестовая машина в локальной сети на ней FTP, Apache и доступ по ssh. Задача при помощи данного фильтра открыть только это остальное прорезать написал такой вот конфиг

Код: Выделить всё

block in  all
block out all
pass out quick on lo0 from 127.0.0.0/8 to 127.0.0.0/8
pass in quick on lo0 from 127.0.0.0/8 to 127.0.0.0/8
pass in quick on rl1        proto icmp from any to 192.168.1.2/32
pass out quick on rl1       proto icmp from 192.168.1.2/32 to any
pass in quick on rl1        proto tcp from any to 192.168.1.2/32 port = 21 keep state
pass in quick on rl1        proto tcp from any to 192.168.1.2/32 port = 22
pass in quick on rl1        proto tcp from any to 192.168.1.2/32 port = 80
pass out quick on rl1       proto tcp/udp from 192.168.1.2/32 to any

Что имею фильтр работает но!!! ssh клиент коннектится к серверу секунд по 20 icmp пакеты вроде летят, ftp клиент висит висит и отваливается так и не приконнектившись. Apache при этом работает нормально nmap c внешнего хоста показывает
fisher@fisher-laptop:~$ nmap 192.168.1.2
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-09 16:55 KRAST
Interesting ports on server (192.168.1.2):
Not shown: 997 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Захаревич Дмитрий]

Ну неужели ни у кого нет никаких мыслей по этому поводу?

[terminus]

Пишите про проблемы с фаерволами в раздел Networks.

По сабжу - наверное не работает ДНС, поэтому таймаут у sshd.

[mash55]

ssh клиент коннектится к серверу секунд по 20 icmp пакеты вроде летят, ftp клиент висит висит и отваливается так и не приконнектившись.

DNS на сервере прописан?

Для FTP нужно два порта - 20 и 21, а не только 21-ый.

[Dog]

Для FTP нужно два порта - 20 и 21, а не только 21-ый.

Для passive - нет, только 21.

[Дмитрий Захаревич]

А при чем тут DNS обе машины тестовый сервер и та с которой конэкчус находятсяв одной сети шлюз 192.168.1.1 все нормально резолвится. В общем повозившись решил попробовать вместо IPF PF накидал вот такой конфиг

Код: Выделить всё

## SET VAR
lan_if = "rl0"
lan_net = "192.168.1.0/24"
icmp_types="{ echoreq, unreach}"
### SET loopback and packet
set skip on lo0
scrub in all
### GLOBAL DENY
block all
### ICMP
pass inet proto icmp all icmp-type $icmp_types
### EXT TRAF
pass out quick on $lan_if from $lan_if to any
### RULES SERVICES
pass in quick on $lan_if proto tcp from $lan_net to $lan_if port 22 flags S/SA keep state
pass in quick on $lan_if proto tcp from $lan_net to $lan_if port 21 flags S/SA keep state
pass in quick on $lan_if proto tcp from $lan_net to $lan_if port 80 flags S/SA keep state

Всё работает. FTP конектится льет файло спокойно SSH не тормозит В чем дело понять не могу

[Dog]

Возможно дело в keep-state. В PF оно по умолчанию, да и в вашем конфиге явно указано, а в IPF вы его не использовали (кроме порта ftp). Может быть что-то не так идет при работе без сохранения состояний.