IPFW и FTP

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
strom
рядовой
Сообщения: 29
Зарегистрирован: 2010-01-22 17:52:22

IPFW и FTP

Непрочитанное сообщение strom » 2010-02-17 0:45:47

в ipfw открыто следующее

Код: Выделить всё

${FwCMD} add allow tcp from any to me 20,21 in via fxp0 setup

${FwCMD} add allow tcp from any to me 49152-65535 via fxp0
При выкачивании портов из интернета проблема - качается только с freebsd.org и то через раз.
Пробовал открывать firewall и порты закачиваются отовсюду. В чем может быть загадка? Может кто-то сталкивался?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение schizoid » 2010-02-17 13:48:48

пожет посмотреть что режется?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

strom
рядовой
Сообщения: 29
Зарегистрирован: 2010-01-22 17:52:22

Re: IPFW и FTP

Непрочитанное сообщение strom » 2010-02-17 14:22:15

Все что режется, режется в начале

Код: Выделить всё

#!/bin/sh
#vvodim peremennuyu
FwCMD="/sbin/ipfw   "
#sbros pravil
${FwCMD} -f flush

#proverka na sootvetstvie dinamich pravilam
${FwCMD} add check-state

#razreshaem traf po petle
${FwCMD} add allow ip from any to any via lo0

#rubim popytki lo0 kuda-to lezt i otkudato lezt na lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

#vvodim zaprety - rezhem vse chastnye seti na vnesh iface im tam neotkuda vzyatsya
${FwCMD} add deny ip from any to 10.0.0.0/8 in via xl0
${FwCMD} add deny ip from any to 172.16.0.0/12 in via xl0
${FwCMD} add deny ip from any to 192.168.0.0/16 in via xl0
${FwCMD} add deny ip from any to 0.0.0.0/8 in via xl0

#rubim multicast rassylki
${FwCMD} add deny ip from any to 240.0.0.0/4 in via xl0

#rubim fragmentirovannye icmp
${FwCMD} add deny icmp from any to any frag

#rubim broadcast icmp na vnesh iface
${FwCMD} add deny log icmp from any to 255.255.255.255 in via xl0
${FwCMD} add deny log icmp from any to 255.255.255.255 out via xl0

#rubim traffik k private network cherez vnesh iface
${FwCMD} add deny ip from 10.0.0.0/8 to any out via xl0
${FwCMD} add deny ip from 172.16.0.0/12 to any out via xl0
${FwCMD} add deny ip from 192.168.0.0/16 to any out via xl0
${FwCMD} add deny ip from 0.0.0.0/8 to any out via xl0

#rubim multicast rassylki
${FwCMD} add deny ip from 224.0.0.0/4 to any out via xl0


arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение arkan » 2010-02-19 15:00:31

ICMP рубить когда идет работа с FTP надо тоже уметь

strom
рядовой
Сообщения: 29
Зарегистрирован: 2010-01-22 17:52:22

Re: IPFW и FTP

Непрочитанное сообщение strom » 2010-02-19 23:32:50

По-моему, проблема не в ICMP
Опытным путем установил, при вышеописанных правилах подключение в активном режиме ftp происходит нормально, но при пассивном режиме, когда удаленный сервер пытается установить соединение на запрещенном порту, меньшим 49152. Файрволл такое соединение обрубает, что правильно, но никак меня не устраивает,т.к соединение устанавливается далеко не сразу, а раза так с 10-го. Есть ли какие-то безопасные варианты обхода ситуации? Может кто сталкивался?

После внимательного прочтения man по ipfw решилось след образом для шлюза
После всех запретов поставил

Код: Выделить всё

${FwCMD} add allow tcp from me to any 20,21 via xl0 setup

#пассив
${FwCMD} add allow tcp from me to any 1024-65535 via xl0 setup

#дополнение для ftp пассива и прочих установившихся
${FwCMD} add allow tcp from any to any established