IPFW + ProFTP + актив
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2006-06-09 15:48:12
- Откуда: Moscow
- Контактная информация:
IPFW + ProFTP + актив
Борюсь с IPFW что бы он внешних пользователей пускал в активном режиме, сейчас все работает в пасивном, но возникла такая ситуация, что нужен активный.
Нарыл в инете, что нужно колдовать с параметром keep-state
Зная из теории, что клиент с номером больше 1024 отправляет запрос на порт 21 сервера, после прохождения USER и PASS, клиент слушает порт N и отправляет на сервер команду PORT, сервер получив PORT, устанавливает соединение с указанным портом N со своего порта 20 для передачи инфы.
Маны покурил и наваял такие правила, после divert
#клиентская часть
$ipfw allow tcp from me 1024-65535 to any 21 keep-state
$ipfw allow tcp from any 20 to me 1024-65535 keep-state
#серверная часть
$ipfw allow tcp from any 1024-65535 to me 21 keep-state
$ipfw allow tcp from me 20 to any 1024-65535 keep-state
$ipfw allow tcp from any 1024-65535 to me 65500-65535 keep-state
Не работет, понимаю, что тем куча, но не одна не раскрыта.
Ман к ipfw перечитал и на http://www.lissyara.su/?id=1356 тож перечитал.
Нарыл в инете, что нужно колдовать с параметром keep-state
Зная из теории, что клиент с номером больше 1024 отправляет запрос на порт 21 сервера, после прохождения USER и PASS, клиент слушает порт N и отправляет на сервер команду PORT, сервер получив PORT, устанавливает соединение с указанным портом N со своего порта 20 для передачи инфы.
Маны покурил и наваял такие правила, после divert
#клиентская часть
$ipfw allow tcp from me 1024-65535 to any 21 keep-state
$ipfw allow tcp from any 20 to me 1024-65535 keep-state
#серверная часть
$ipfw allow tcp from any 1024-65535 to me 21 keep-state
$ipfw allow tcp from me 20 to any 1024-65535 keep-state
$ipfw allow tcp from any 1024-65535 to me 65500-65535 keep-state
Не работет, понимаю, что тем куча, но не одна не раскрыта.
Ман к ipfw перечитал и на http://www.lissyara.su/?id=1356 тож перечитал.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2006-06-09 15:48:12
- Откуда: Moscow
- Контактная информация:
Имеетсяipfw check-state в фаере имеется?
Должен работать, но у меня в правилах нет keep-state.keep-state то работает?
ipfw -d show
и
ipfw -e show
динамические правила показывает?
xl0 - внешний
rl0 - внутр.
Код: Выделить всё
00100 divert 8668 ip from any to any out via xl0
00200 divert 8668 ip from any to any in via xl0
00300 check-state
00400 deny icmp from any to any frag
00500 allow icmp from any to me icmptypes 0,3,4,11,12 in
00600 allow icmp from any to 192.168.0.0/24 icmptypes 0,3,4,11,12 in recv xl0
00700 allow icmp from me to any icmptypes 3,8,12 out
00800 allow tcp from any to any dst-port 25 in via xl0
00900 allow tcp from any 25 to any out via xl0
01000 allow tcp from any to any dst-port 100
01100 allow tcp from any 100 to any
01200 allow tcp from any to any dst-port 50000-60000
01300 allow tcp from any 50000-60000 to any
01400 allow tcp from any to any dst-port 5999
01500 allow tcp from any 5999 to any
01600 allow tcp from any to any dst-port 5000-5004
01700 allow tcp from any 5000-5004 to any
01800 allow udp from any to any dst-port 6000
01900 allow udp from any 6000 to any
02000 allow ip from any to any dst-port 9000-9001
02100 allow ip from any 9000-9001 to any
02200 allow udp from any to any dst-port 30000-30031
02300 allow udp from any 30000-30031 to any
02400 allow tcp from any 1024-65535 to me dst-port 21,1024-65535
02500 allow tcp from any 1024-65535 to me dst-port 20,1024-65535 established
02600 allow tcp from me 20,1024-65535 to any dst-port 1024-65535
02700 allow tcp from me 21,1024-65535 to any dst-port 1024-65535 established
02800 allow tcp from any to any dst-port 4004
02900 allow tcp from any 4004 to any
03000 allow ip from any to any via lo0
03100 deny ip from any to 127.0.0.0/8
03200 deny ip from 127.0.0.0/8 to any
03300 allow ip from any to any via rl0
03400 allow tcp from any to me dst-port 3128 in via rl0
03500 allow tcp from me 3128 to any out via rl0
03600 allow udp from any to any dst-port 53
03700 allow udp from any 53 to any
03800 allow tcp from any to any dst-port 5190
03900 allow tcp from any 5190 to any
04000 allow tcp from any to any dst-port 443
04100 allow tcp from any 443 to any
04200 allow tcp from any to any dst-port 80,8080
04300 allow tcp from any 80,8080 to any
04400 allow tcp from any 22 to any
04500 allow tcp from any to any dst-port 22
04600 deny log logamount 10000 ip from any to any setup
04700 deny ip from any to any
на клиенте фаер вырубил, на сервере
router_ad# tcpdump -i xl0 dst КЛИЕНТ
Код: Выделить всё
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes
14:00:09.780009 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: S 2377493504:2377493504(0) ack 3675343613 win 65535 <mss 1460,sackOK,eol>
14:00:09.804880 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 1:24(23) ack 1 win 65535
14:00:09.850055 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 24:62(38) ack 18 win 65535
14:00:09.905970 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 62:94(32) ack 33 win 65535
14:00:09.927738 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 94:113(19) ack 39 win 65535
14:00:09.949289 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 113:168(55) ack 45 win 65535
14:00:10.163882 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 168:177(9) ack 45 win 65535
14:00:10.230634 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 177:211(34) ack 50 win 65535
14:00:10.316778 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 211:230(19) ack 58 win 65535
14:00:10.340209 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 230:256(26) ack 82 win 65535
14:00:15.195064 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: P 256:270(14) ack 88 win 65535
14:00:15.195459 IP СЕРВЕР.ftp > КЛИЕНТ.laplink: F 270:270(0) ack 88 win 65535
- OSBoy
- сержант
- Сообщения: 228
- Зарегистрирован: 2007-04-09 12:17:50
- Откуда: Из капусты
У меня всё прерасно работает вот так:
ipfw :
proftpd.conf :
ipfw :
Код: Выделить всё
${ipfw} add 530 allow tcp from any to me 21,65515-65535
${ipfw} add 540 allow tcp from me to any keep-state
Код: Выделить всё
# В секции Server:
PassivePorts 65515 65535
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2006-06-09 15:48:12
- Откуда: Moscow
- Контактная информация:
Re: IPFW + ProFTP + актив
У меня не проходит??!
А не смогли бы Вы полностью показать свой конфиг?
А не смогли бы Вы полностью показать свой конфиг?
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2006-06-09 15:48:12
- Откуда: Moscow
- Контактная информация:
Re: IPFW + ProFTP + актив
ИМХО недавно появилась фишка от mail.ru, теперь кажись он проверяет по PTR и DNS существование отправителя. Это я заметил когда не мог отправить письма на mail.ru, но на остальные бесплатные почтовики доходило все, на маршрутизаторе заснифил и увидел, что при отправке на mail.ru он начинает ломится на 50000-65535 порты.
Странно, или я "особенный".
Странно, или я "особенный".
- OSBoy
- сержант
- Сообщения: 228
- Зарегистрирован: 2007-04-09 12:17:50
- Откуда: Из капусты
Re: IPFW + ProFTP + актив
Если вы о конфиге ipfw, то не вижу смысла приводить его полностью, там касаемого фтп больше просто ничего нет:BAYES писал(а):У меня не проходит??!
А не смогли бы Вы полностью показать свой конфиг?
Всё исходящее разрешено с keep-state, а входящее - на 21 порт для активного режима и на нужные порты пассивного. Сервер ещё работает как шлюз, поэтому ещё наверно стоит отметить, что правила, разрешающие фтп, у меня стоят до divert nat .
А что касается proftpd.conf, вот моя часть "server":
Код: Выделить всё
# Server
ServerName "OSBoy's FTP Server"
ServerType standalone
DefaultServer on
ServerIdent off
RootLogin on
Port 21
Umask 022
MaxInstances 30
PassivePorts 65515 65535
User ftp
Group ftp
RequireValidShell off
TimesGMT off
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2006-06-09 15:48:12
- Откуда: Moscow
- Контактная информация:
Re: IPFW + ProFTP + актив
Вот ключевое слово, спасибо Вам большое.стоят до divert nat