Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
tango
- Access Forbidden
- Сообщения: 247
- Зарегистрирован: 2007-12-15 17:41:18
- Откуда: Санкт- Петербург
-
Контактная информация:
Непрочитанное сообщение
tango » 2008-04-30 18:22:41
Можно и так:
Код: Выделить всё
${fwcmd} add allow all from any to ${oip} 1024-65535 setup
${fwcmd} add allow tcp from any to any 20,21
${fwcmd} add allow tcp from any 20,21 to any
oip - внешний ай-пи
tango
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-06 1:12:03
tango писал(а):Можно и так:
Код: Выделить всё
${fwcmd} add allow all from any to ${oip} 1024-65535 setup
${fwcmd} add allow tcp from any to any 20,21
${fwcmd} add allow tcp from any 20,21 to any
oip - внешний ай-пи
вот что у меня получилось
Код: Выделить всё
00320 0 0 allow tcp from any to any dst-port 20 via ed0
00330 0 0 allow tcp from any 20 to any via ed0
00340 3 156 allow tcp from any to any dst-port 21 via ed0
00350 0 0 allow tcp from any 21 to any via ed0
00355 3 144 allow ip from any to х.х.х.х dst-port 49152-65535 setup
как видно запросы идут, но толку с того....
в логах ничего нету забаненного
когда не будь мы за это поплатимся....
radiofannat
-
tango
- Access Forbidden
- Сообщения: 247
- Зарегистрирован: 2007-12-15 17:41:18
- Откуда: Санкт- Петербург
-
Контактная информация:
Непрочитанное сообщение
tango » 2008-05-06 18:57:10
Конечно дело хозяйское...но всё же предлагаю попробовать именно с теми правилами, что я предложила....
tango
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-07 11:25:12
tango писал(а):Конечно дело хозяйское...но всё же предлагаю попробовать именно с теми правилами, что я предложила....
Код: Выделить всё
ipfw show
00315 allow ip from any to x.x.x.x dst-port 1024-65535 setup
00320 allow tcp from any to any dst-port 20,21
00330 allow tcp from any 20,21 to any
один фиг неработает пасивный режим, не в осле не в мозиле, даже с телефона пробывал зайти...
у меня такой вопрос, что значит "dst-port" я его в правилах не добавляю
когда не будь мы за это поплатимся....
radiofannat
-
tango
- Access Forbidden
- Сообщения: 247
- Зарегистрирован: 2007-12-15 17:41:18
- Откуда: Санкт- Петербург
-
Контактная информация:
Непрочитанное сообщение
tango » 2008-05-07 11:38:54
dst-port- значит порт на удаленной машине (дистанционный порт).
А в настройках фтп-сервера пассивный режим включен?
tango
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-07 11:49:16
tango писал(а):dst-port- значит порт на удаленной машине (дистанционный порт).
А в настройках фтп-сервера пассивный режим включен?
я думаю да, когда файрвол отключаю то всё нормально...
а вобще где есть настройки пасивного или активного режима я незнаю, я ненашёл... где его конфиги?
когда не будь мы за это поплатимся....
radiofannat
-
tango
- Access Forbidden
- Сообщения: 247
- Зарегистрирован: 2007-12-15 17:41:18
- Откуда: Санкт- Петербург
-
Контактная информация:
Непрочитанное сообщение
tango » 2008-05-07 12:05:22
Ну попробуй тогда что ли это:
Код: Выделить всё
${fwcmd} add allow all from any to ${oip} 1024-65535 setup
исправить на это:
Код: Выделить всё
${fwcmd} add allow all from any to ${oip} 1024-65535
если пойдет, дальше уже можно будет разбираться с интерфейсами и уменьшить диапазон портов.
tango
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-07 12:11:29
Код: Выделить всё
ipfw show
00315 0 288 allow ip from any to x.x.x.x dst-port 49152-65535
всёравно не хочет! но ведь трафик видно что есть! "288"
когда не будь мы за это поплатимся....
radiofannat
-
tango
- Access Forbidden
- Сообщения: 247
- Зарегистрирован: 2007-12-15 17:41:18
- Откуда: Санкт- Петербург
-
Контактная информация:
Непрочитанное сообщение
tango » 2008-05-07 12:19:09
А что пишет то хоть??
P.S. диапазон (49152-65535) расширь ...
tango
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-07 12:26:15
при конекте в осле пишет версию сервера всё как надо, но когда пытаюсь залогиница он долго думает и в строке статуса пишет "получение содержимого..." через время пишет "время истекло..." а как лог посмотреть именно по этому правилу? в security ничего нет...
я пробывал (1024-65535) тоже самое
когда не будь мы за это поплатимся....
radiofannat
-
GreenDay
- мл. сержант
- Сообщения: 100
- Зарегистрирован: 2008-02-21 20:25:39
- Откуда: Новосибирск
-
Контактная информация:
Непрочитанное сообщение
GreenDay » 2008-05-07 12:32:12
tango, не надо вводить человека в заблуждение
1. dst-port - destination port, тобишь порт назначения
2. диапазон 49152-65535 верный и выше указали почему
по теме - фтп ваще по какому ифейсу слушает?
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.
GreenDay
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-07 12:37:41
GreenDay писал(а):tango, не надо вводить человека в заблуждение
1. dst-port - destination port, тобишь порт назначения
2. диапазон 49152-65535 верный и выше указали почему
по теме - фтп ваще по какому ифейсу слушает?
тот что в мир смотрит LanOut="ed0", посмотри правила в начале темы я выкладывал, в локалку всё разрешено и всё работает
когда не будь мы за это поплатимся....
radiofannat
-
GreenDay
- мл. сержант
- Сообщения: 100
- Зарегистрирован: 2008-02-21 20:25:39
- Откуда: Новосибирск
-
Контактная информация:
Непрочитанное сообщение
GreenDay » 2008-05-07 12:43:55
а в логах фтп сервера че есть по этой части?
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.
GreenDay
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-07 12:48:51
ты имеешь ввиду какой лог файл? у меня родной сервер стоит, встроенный
когда не будь мы за это поплатимся....
radiofannat
-
tango
- Access Forbidden
- Сообщения: 247
- Зарегистрирован: 2007-12-15 17:41:18
- Откуда: Санкт- Петербург
-
Контактная информация:
Непрочитанное сообщение
tango » 2008-05-07 12:49:29
GreenDay писал(а):tango, не надо вводить человека в заблуждение
1. dst-port - destination port, тобишь порт назначения
2. диапазон 49152-65535 верный и выше указали почему
по теме - фтп ваще по какому ифейсу слушает?
а я и не путаю....
destination port это и есть порт на машине к которой обращаешься....
что я сказала не так?
tango
-
tango
- Access Forbidden
- Сообщения: 247
- Зарегистрирован: 2007-12-15 17:41:18
- Откуда: Санкт- Петербург
-
Контактная информация:
Непрочитанное сообщение
tango » 2008-05-07 12:56:58
и еще....последняя рекомендация....потом я умываю руки...
У меня было подобное при логине, потому что браузер посылал некорректные команды LOGIN...
попробуй в адресной строке набрать сразу всё: ftp://username:password@ip_servera ....
tango
-
radiofannat
- сержант
- Сообщения: 155
- Зарегистрирован: 2007-09-12 14:07:39
- Откуда: Украина
-
Контактная информация:
Непрочитанное сообщение
radiofannat » 2008-05-07 13:04:47
пробывал, тоже самое, "получение содержимого.." после дисконект(((
когда не будь мы за это поплатимся....
radiofannat