IPFW + port 21 + traceroute

[stark]

Добрый день.
Возникли у меня следующие две проблемы:
1. не могу дустучатся до 21 порта
2. необходимо, чтобы с мира машины могли выполнять трасеровку сервера.

правила брандмаура следующие:

Код: Выделить всё

00100      0        0 check-state
00200  66448 17416370 allow ip from any to any via lo0
00300      0        0 deny ip from any to 127.0.0.0/8
00400      0        0 deny ip from 127.0.0.0/8 to any
00500   3192   262148 allow ip from any to xxx.xxx.11.0/24 via fxp0
00600   1425   100643 allow ip from any to xxx.xxx.98.0/28 via xl0
00700      0        0 deny ip from any to 172.16.0.0/12 in via fxp0
00800      0        0 deny ip from any to 192.168.0.0/16 in via fxp0
00900      0        0 deny ip from any to 0.0.0.0/8 in via fxp0
01000      0        0 deny ip from any to 169.254.0.0/16 in via fxp0
01100    337    62390 deny ip from any to 240.0.0.0/4 in via fxp0
01200      0        0 deny ip from xxx.xxx.227.91 to xxx.xxx.227.32 in via fxp0
01300      0        0 deny ip from 165.145.53.251,69.90.94.196,217.118.90.243 to xxx.xxx.227.32 in via fxp0
01400      0        0 deny icmp from any to any frag
01500      0        0 deny log logamount 100 icmp from any to 255.255.255.255 in via fxp0
01600      0        0 deny log logamount 100 icmp from any to 255.255.255.255 out via fxp0
01700  72773 47242696 divert 8668 ip from 10.10.200.0/28 to any out via fxp0
01800     33     4480 divert 8668 ip from xxx.xxx.98.0/28 to any out via fxp0
01900 136689 59448259 divert 8668 ip from any to xxx.xxx.227.32 in via fxp0
02000      0        0 deny ip from 172.16.0.0/12 to any out via fxp0
02100      0        0 deny ip from 192.168.0.0/16 to any out via fxp0
02200      0        0 deny ip from 0.0.0.0/8 to any out via fxp0
02300      0        0 deny ip from 169.254.0.0/16 to any out via fxp0
02400      0        0 deny ip from 224.0.0.0/4 to any out via fxp0
02500      0        0 deny ip from 240.0.0.0/4 to any out via fxp0
02600  11706   823530 allow icmp from any to any icmptypes 0,8,11
02700    557    34416 allow ip from any to xxx.xxx.98.0/28 in via fxp0
02800      0        0 allow ip from xxx.xxx.98.0/28 to any out via fxp0
02900  45647  5599340 allow ip from any to 10.10.200.0/28 in via fxp0
03000      0        0 allow ip from 10.10.200.0/28 to any out via fxp0
03100 109536 84206114 allow tcp from any to any established
03200    268    31254 allow udp from any to xxx.xxx.227.32 dst-port 53 in via fxp0
03300    268    35639 allow udp from xxx.xxx.227.32 53 to any out via fxp0
03400     79     9387 allow udp from any 53 to xxx.xxx.227.32 in via fxp0
03500     79     5049 allow udp from xxx.xxx.227.32 to any dst-port 53 out via fxp0
03600      0        0 allow tcp from any to xxx.xxx.227.32 dst-port 53 in via fxp0
03700      0        0 allow udp from any to xxx.xxx.227.32 dst-port 25 in recv fxp0
03800      0        0 allow udp from xxx.xxx.227.32 25 to any out xmit fxp0
03900      0        0 allow udp from any 25 to xxx.xxx.227.32 in recv fxp0
04000      0        0 allow udp from xxx.xxx.227.32 to any dst-port 25 out xmit fxp0
04100      0        0 allow tcp from any to xxx.xxx.227.32 dst-port 25 in via fxp0 setup
04200      0        0 allow tcp from any to xxx.xxx.227.32 dst-port 110 in via fxp0
04300      0        0 allow udp from any to xxx.xxx.227.32 dst-port 110 in via fxp0
04400  72839 51807610 allow udp from any to xxx.xxx.227.32 dst-port 2000 in via fxp0
04500  45752  8248718 allow udp from xxx.xxx.227.32 2000 to any out via fxp0
04600      0        0 allow udp from any to any dst-port 123 in via fxp0
04700      1       60 allow tcp from any to xxx.xxx.227.32 dst-port 80 via fxp0
04800     24     1152 allow tcp from any to xxx.xxx.227.32 dst-port 443 via fxp0
04900      0        0 allow tcp from any to xxx.xxx.98.1 dst-port 443 via xl0
05000      0        0 allow tcp from any to xxx.xxx.227.32 dst-port 22 via fxp0
05100      0        0 allow tcp from any to 10.10.200.1 dst-port 22 via tun0
05200      0        0 allow tcp from any to xxx.xxx.227.32 dst-port 20 via fxp0
05300      1       48 allow tcp from any to xxx.xxx.227.32 dst-port 21 via fxp0
05400    112    13490 allow udp from any to xxx.xxx.227.32 dst-port 49152-65535 via fxp0
05500   2022   101484 deny log logamount 100 tcp from any to xxx.xxx.227.32 in via fxp0 setup
05600   3587   180792 allow tcp from xxx.xxx.227.32 to any out via fxp0 setup
05700      0        0 allow tcp from any to xxx.xxx.227.32 in via xl0 setup
05800      0        0 allow tcp from any to xxx.xxx.227.32 in via tun0 setup
05900      0        0 allow ip from xxx.xxx.98.14 to not xxx.xxx.98.0/28
06000  35696  7797268 allow ip from 10.10.200.2 to not 10.10.200.0/28
06100      3      110 allow ip from 10.10.200.2 to not xxx.xxx.98.0/28
06200      0        0 allow ip from not xxx.xxx.98.0/28 to xxx.xxx.98.0/28
06300  18105  1817579 allow ip from not 10.10.200.0/28 to 10.10.200.0/28
06500      5      308 deny ip from any to any
65535   2435   393402 allow ip from any to any

на ФТП могу попасть через натд.

Код: Выделить всё

redirect_port tcp xxx.xxx.98.1:21 21

а трасеровка делает, если стоит такое правило

Код: Выделить всё

06400  47683  8930810 allow ip from any to any via fxp0

подскажите более рациональное решение.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[budmo]

Какой FTP сервер используете? Работает отдельным сервисом? Покажите netstat -nap. Для трасы можно попробовать что-то типа этого:
${fwcmd} add 3040 unreach port udp from any to me 33400-33600
${fwcmd} add 3041 unreach port tcp from any to me 33400-33600

[stark]

использую proftpd.
когда выключаю брандмауер , то все доступно. получается дело в нем.

[budmo]

Посмотрите, какие пассивные порты открыты в proftpd и проверьте, чтобы они были открыты в ipfw. В proftpd пассивные порты можно указать явно через директиву PassivePorts.

[stark]

подскажитеб где ето посмотреть можно ?
у меня в нет подобного в /usr/local/etc/proftpd.conf

[budmo]

Именно в proftpd и д.б. эта строчка. Если ее нет, пропишите сами. Т.к. у вас в ipfw есть открытый диапазон из верхних адресов (правило 05400), то в proftpd.conf можно вставить такую строчку:
PassivePorts 49500 49700
и перезапустить proftpd.

[stark]

такое решение не помагает

[budmo]

У вас FTP на этом же сервере, где ipfw? Если да, вот пример правил для ipfw. Если нет, то вместо "me" поставте нужный адрес.
${fwcmd} add 1150 allow all from any to me 20,21,49200-49400 setup limit src-addr 3
${fwcmd} add 1151 allow all from me 20,21,49200-49400 to any
А потом можете номер правила увеличивать и смотреть, где перестанет работать.

[stark]

да, все это на одном сервере

[stark]

предложение правила не помогают

[alonefox]

man traceroute
Если посмотреть на опцию -I, которую можно замечательно (для себя) использовать. Она позволяет работать, не на udp а на icmp.
Лично я опцию сегодня целый день использовал, чтобы не париться с фаейром (мне благо редки приходиться использовать)