IPFW + ProFTP + актив

[BAYES]

Борюсь с IPFW что бы он внешних пользователей пускал в активном режиме, сейчас все работает в пасивном, но возникла такая ситуация, что нужен активный.

Нарыл в инете, что нужно колдовать с параметром keep-state

Зная из теории, что клиент с номером больше 1024 отправляет запрос на порт 21 сервера, после прохождения USER и PASS, клиент слушает порт N и отправляет на сервер команду PORT, сервер получив PORT, устанавливает соединение с указанным портом N со своего порта 20 для передачи инфы.

Маны покурил и наваял такие правила, после divert

#клиентская часть
$ipfw allow tcp from me 1024-65535 to any 21 keep-state
$ipfw allow tcp from any 20 to me 1024-65535 keep-state

#серверная часть
$ipfw allow tcp from any 1024-65535 to me 21 keep-state
$ipfw allow tcp from me 20 to any 1024-65535 keep-state
$ipfw allow tcp from any 1024-65535 to me 65500-65535 keep-state


Не работет, понимаю, что тем куча, но не одна не раскрыта.

Ман к ipfw перечитал и на http://www.lissyara.su/?id=1356 тож перечитал.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

keep-state то работает?
ipfw -d show
и
ipfw -e show
динамические правила показывает?

ipfw check-state в фаере имеется?

обычно в tcp пишуд
ipfw allow tcp from any to me 25 setup keep-state

врубить на стороне клиента и сервера
tcpdump
и посмотреть попакетно

[BAYES]

ipfw check-state в фаере имеется?

Имеется

keep-state то работает?
ipfw -d show
и
ipfw -e show
динамические правила показывает?

Должен работать, но у меня в правилах нет keep-state.

xl0 - внешний
rl0 - внутр.

Код: Выделить всё

00100 divert 8668 ip from any to any out via xl0
00200 divert 8668 ip from any to any in via xl0
00300 check-state
00400 deny icmp from any to any frag
00500 allow icmp from any to me icmptypes 0,3,4,11,12 in
00600 allow icmp from any to 192.168.0.0/24 icmptypes 0,3,4,11,12 in recv xl0
00700 allow icmp from me to any icmptypes 3,8,12 out
00800 allow tcp from any to any dst-port 25 in via xl0
00900 allow tcp from any 25 to any out via xl0
01000 allow tcp from any to any dst-port 100
01100 allow tcp from any 100 to any
01200 allow tcp from any to any dst-port 50000-60000
01300 allow tcp from any 50000-60000 to any
01400 allow tcp from any to any dst-port 5999
01500 allow tcp from any 5999 to any
01600 allow tcp from any to any dst-port 5000-5004
01700 allow tcp from any 5000-5004 to any
01800 allow udp from any to any dst-port 6000
01900 allow udp from any 6000 to any
02000 allow ip from any to any dst-port 9000-9001
02100 allow ip from any 9000-9001 to any
02200 allow udp from any to any dst-port 30000-30031
02300 allow udp from any 30000-30031 to any
02400 allow tcp from any 1024-65535 to me dst-port 21,1024-65535
02500 allow tcp from any 1024-65535 to me dst-port 20,1024-65535 established
02600 allow tcp from me 20,1024-65535 to any dst-port 1024-65535
02700 allow tcp from me 21,1024-65535 to any dst-port 1024-65535 established
02800 allow tcp from any to any dst-port 4004
02900 allow tcp from any 4004 to any
03000 allow ip from any to any via lo0
03100 deny ip from any to 127.0.0.0/8
03200 deny ip from 127.0.0.0/8 to any
03300 allow ip from any to any via rl0
03400 allow tcp from any to me dst-port 3128 in via rl0
03500 allow tcp from me 3128 to any out via rl0
03600 allow udp from any to any dst-port 53
03700 allow udp from any 53 to any
03800 allow tcp from any to any dst-port 5190
03900 allow tcp from any 5190 to any
04000 allow tcp from any to any dst-port 443
04100 allow tcp from any 443 to any
04200 allow tcp from any to any dst-port 80,8080
04300 allow tcp from any 80,8080 to any
04400 allow tcp from any 22 to any
04500 allow tcp from any to any dst-port 22
04600 deny log logamount 10000 ip from any to any setup
04700 deny ip from any to any

на клиенте фаер вырубил, на сервере

router_ad# tcpdump -i xl0 dst КЛИЕНТ

Код: Выделить всё

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes
14:00:09.780009 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: S 2377493504:2377493504(0) ack 3675343613 win 65535 <mss 1460,sackOK,eol>
14:00:09.804880 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 1:24(23) ack 1 win 65535
14:00:09.850055 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 24:62(38) ack 18 win 65535
14:00:09.905970 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 62:94(32) ack 33 win 65535
14:00:09.927738 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 94:113(19) ack 39 win 65535
14:00:09.949289 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 113:168(55) ack 45 win 65535
14:00:10.163882 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 168:177(9) ack 45 win 65535
14:00:10.230634 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 177:211(34) ack 50 win 65535
14:00:10.316778 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 211:230(19) ack 58 win 65535
14:00:10.340209 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 230:256(26) ack 82 win 65535
14:00:15.195064 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 256:270(14) ack 88 win 65535
14:00:15.195459 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: F 270:270(0) ack 88 win 65535

[OSBoy]

У меня всё прерасно работает вот так:

ipfw :

Код: Выделить всё

${ipfw} add 530 allow tcp from any to me 21,65515-65535
${ipfw} add 540 allow tcp from me to any keep-state

proftpd.conf :

Код: Выделить всё

# В секции Server:
PassivePorts 65515 65535

[BAYES]

У меня не проходит??!

А не смогли бы Вы полностью показать свой конфиг?

[BAYES]

ИМХО недавно появилась фишка от mail.ru, теперь кажись он проверяет по PTR и DNS существование отправителя. Это я заметил когда не мог отправить письма на mail.ru, но на остальные бесплатные почтовики доходило все, на маршрутизаторе заснифил и увидел, что при отправке на mail.ru он начинает ломится на 50000-65535 порты.
Странно, или я "особенный".

[OSBoy]

У меня не проходит??!

А не смогли бы Вы полностью показать свой конфиг?

Если вы о конфиге ipfw, то не вижу смысла приводить его полностью, там касаемого фтп больше просто ничего нет:
Всё исходящее разрешено с keep-state, а входящее - на 21 порт для активного режима и на нужные порты пассивного. Сервер ещё работает как шлюз, поэтому ещё наверно стоит отметить, что правила, разрешающие фтп, у меня стоят до divert nat .
А что касается proftpd.conf, вот моя часть "server":

Код: Выделить всё

# Server
        ServerName              "OSBoy's FTP Server"
        ServerType              standalone
        DefaultServer           on
        ServerIdent             off
        RootLogin               on
        Port                    21
        Umask                   022
        MaxInstances            30
        PassivePorts            65515 65535
        User                    ftp
        Group                   ftp
        RequireValidShell       off
        TimesGMT                off

хотя и не думаю, что здесь вам что-то поможет!

[BAYES]

стоят до divert nat

Вот ключевое слово, спасибо Вам большое.