Немогу зайти по FTP

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-22 21:18:45

на сервере стоит freebsd 5.5 запущен встроеннный FTP Server (Version 6.00LS), всё работает на ура но вот беда... при включенном IPFW немогу зайти с мира на FTP, осёл пишет версию и пытается найти чтото... после время проходит и связь прерывается, так и не прочитав ничего... при чём на ssh на http зайти можно, в нутри сетки всё работает...
привожу конфиг ipfw.conf

Код: Выделить всё

#!/bin/sh
ipfw -q -f flush

FwCMD="ipfw -q add"
LanOut="ed0"
LanIn="rl0"
IpOut="х.х.х.х"
IpIn="192.168.10.1"
NetMask="24"
NetIn="192.168.10.0"

#${FwCMD} 00010 check-state
${FwCMD} 00015 allow ip from any to any via lo0
${FwCMD} 00020 deny ip from any to 127.0.0.0/8
${FwCMD} 00025 deny ip from 127.0.0.0/8 to any

# mrtg.
${FwCMD} 00040 count ip from any to any in via ${LanOut}
${FwCMD} 00041 count ip from any to any out via ${LanOut}
${FwCMD} 00042 count ip from any to any in via ${LanIn}
${FwCMD} 00043 count ip from any to any out via ${LanIn}

# portsentry
${FwCMD} 00045 allow tcp from any to ${IpOut} \
1,11,15,23,79,81,111,119,540,635 via ${LanOut}
${FwCMD} 00046 allow tcp from any to ${IpOut} \
1080,1524,2000,5742,6667,8080,8085 via ${LanOut}
${FwCMD} 00047 allow udp from any to ${IpOut} \
1,7,9,69,513,635,640,641,700 via ${LanOut}

# ICMP 
${FwCMD} 00050 deny icmp from any to any frag
#${FwCMD} 00051 allow icmp from any to any icmptype 0,8,11
#${FwCMD} 00052 allow icmp from any to any via ${LanOut}

${FwCMD} 00061 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} 00062 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} 00063 deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} 00064 deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} 00065 deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} 00066 deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} 00068 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} 00069 deny log icmp from any to 255.255.255.255 out via ${LanOut}

# NAT.
${FwCMD} 00070 divert natd all from any to any via ${LanOut}

${FwCMD} 00070 divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} 00071 divert natd ip from any to ${IpOut} in via ${LanOut}

${FwCMD} 00110 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} 00111 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} 00112 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} 00113 deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} 00114 deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} 00115 deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} 00116 deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} 00120 allow tcp from any to any established

${FwCMD} 00121 allow ip from ${IpOut} to any out xmit ${LanOut}

# dns.
${FwCMD} 00300 allow udp from any to any 53 via ${LanOut}
${FwCMD} 00310 allow udp from any 53 to any via ${LanOut}

# ftp.
${FwCMD} 00320 allow tcp from any to any 20 via ${LanOut}
${FwCMD} 00330 allow tcp from any 20 to any via ${LanOut}
${FwCMD} 00340 allow tcp from any to any 21 via ${LanOut}
${FwCMD} 00350 allow tcp from any 21 to any via ${LanOut}

# smtp.
#${FwCMD} 00360 allow tcp from any to any 25 via ${LanOut}
#${FwCMD} 00370 allow tcp from any 25 to any via ${LanOut}

# ssh.
${FwCMD} 00380 allow tcp from any to any 32 via ${LanOut}
${FwCMD} 00390 allow tcp from any 32 to any via ${LanOut}

# http https.
${FwCMD} 00400 allow tcp from any to any 80,443 via ${LanOut}
${FwCMD} 00410 allow tcp from any 80,443 to any via ${LanOut}

# pop3.
#${FwCMD} 00420 allow tcp from any to any 110 via ${LanOut}
#${FwCMD} 00430 allow tcp from any 110 to any via ${LanOut}

${FwCMD} 00510 allow gre from any to any via ${LanIn}
${FwCMD} 00520 allow tcp from any to any via ${LanIn}
${FwCMD} 00540 allow udp from any to any via ${LanIn}
${FwCMD} 00550 allow icmp from any to any via ${LanIn}

${FwCMD} 00999 deny ip from any to any
когда прописую firewall_type="OPEN" то FTP в мир нормально работает...
в чём проблема? правила неправельные или сам фтп глючный? я нехочу устанавливать дополнительные чтото типа vsftp или proftp что посоветуете??? :roll:
если есть ещё какие то ошибки в правилах то поправте....
когда не будь мы за это поплатимся....

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение dikens3 » 2008-04-22 21:26:06

Нужно добавить в rc.conf

Код: Выделить всё

firewall_logging="NO"           # Set to YES to enable events logging
И потом использовать действие log на всех правилах использующих DENY. Если правило последнее, тогда добавить перед ним:

Код: Выделить всё

ipfw add 65534 deny log ip from any to any
Все прибитые пакеты будут записаны в /var/log/security в котором можно найти всю информацию о том, что блокируется.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-23 1:49:17

тоесть добавить в последнее правило "log" ??

Код: Выделить всё

${FwCMD} 00999 deny log ip from any to any
и такой вопрос, последнее правило обязательно должно быть с номером 65534???
когда не будь мы за это поплатимся....

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение dikens3 » 2008-04-23 10:54:06

Нет, главное чтобы ты понимал фаер. А где будет правило не имеет значения.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-23 23:48:48

вот лог с заблокированным IP:

Код: Выделить всё

Apr 23 23:19:52 free kernel: ipfw: 999 Deny TCP 92.113.97.112:62152 х.х.х.х:59419 in via ed0
Apr 23 23:19:55 free kernel: ipfw: 999 Deny TCP 92.113.97.112:62152 х.х.х.х:59419 in via ed0
Apr 23 23:21:19 free last message repeated 2 times
непонимаю одного, почему порт пишет не 21 а левый какой то???
когда не будь мы за это поплатимся....

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение dikens3 » 2008-04-24 8:43:35

Ты про пассивный/активный FTP знаешь что? Почитай на досуге.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-24 20:26:30

dikens3 писал(а):Ты про пассивный/активный FTP знаешь что? Почитай на досуге.
подскажи литературку...
когда не будь мы за это поплатимся....

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение dikens3 » 2008-04-24 21:39:43

Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-25 9:05:29

это всё хорошо, но я так и не понял... конкретно можно? как в IPFW зделать пасивный / активный режим FTP????
когда не будь мы за это поплатимся....

Аватара пользователя
GreenDay
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-21 20:25:39
Откуда: Новосибирск
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение GreenDay » 2008-04-25 10:15:39

конретно нужно открыть порты 49152-65535
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-25 14:43:49

сейчас попробую...

Код: Выделить всё

${FwCMD} 00355 allow tcp from any to 49152-65535 via ${LanOut}
когда не будь мы за это поплатимся....

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-25 15:59:00

мля люди... что за нах... всё упало и неизвено как! после прописки правила и перезагрузки нет сети, подключил монитор к серваку и что я вижу... при загрузке файр вобще не включается... пинга совсем никакова даже 127.0.0.1, ifconfig пишет всё хорошо и призагрузке тоже... захожу в etc/rc.d ./ipfw start или stop - ноль эмоций! не стартует и не останавливается! всё вернул как было... reboot... всё снова так же! куда всё делось? где копать??? HELLP!!!!!! :?
когда не будь мы за это поплатимся....

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение dikens3 » 2008-04-25 16:22:19

ipfw вообще загружается?
Что показывает ipfw show?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
GreenDay
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-21 20:25:39
Откуда: Новосибирск
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение GreenDay » 2008-04-25 17:29:26

radiofannat писал(а):сейчас попробую...

Код: Выделить всё

${FwCMD} 00355 allow tcp from any to 49152-65535 via ${LanOut}
а где же там to any?
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-26 9:58:42

пацаны вот я протупил....
вчера по пьяне прописал в rc.conf
#firewall_enable="YES"
а точнее закомениревал случайно....
это хохма.... :lol:
когда не будь мы за это поплатимся....

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-26 10:02:49

GreenDay писал(а):
radiofannat писал(а):сейчас попробую...

Код: Выделить всё

${FwCMD} 00355 allow tcp from any to 49152-65535 via ${LanOut}
а где же там to any?
всё поправил...
всем спосибо, FreeBSD форева!!!! :P
когда не будь мы за это поплатимся....

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-26 11:14:32

всё равно люди не могут зайти...

Код: Выделить всё

${FwCMD} 00320 allow tcp from any to any 20 via ${LanOut}
${FwCMD} 00330 allow tcp from any 20 to any via ${LanOut}
${FwCMD} 00340 allow tcp from any to any 21 via ${LanOut}
${FwCMD} 00350 allow tcp from any 21 to any via ${LanOut}
${FwCMD} 00355 allow tcp from any to any 49152-65535 via ${LanOut}
удалил /var/log/security...
при этом конфиге новые логи с заблокиреванными IP не создались...
что я снова не так делаю???
когда не будь мы за это поплатимся....

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-28 23:03:00

есть какие то предложения??? :roll:
когда не будь мы за это поплатимся....

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение manefesto » 2008-04-29 6:29:58

читать! На сайте есть аж две статьи по фаеру
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
kolesya
сержант
Сообщения: 191
Зарегистрирован: 2006-10-17 15:54:01
Откуда: Украина, Киев

Re: Немогу зайти по FTP

Непрочитанное сообщение kolesya » 2008-04-29 13:16:36

ipfw модулем грузитсо, или в ядро вкомпилен ?
если модулем грузится - бывают лажи - log в правилах не отрабатывает.
сталкивался на 5.2.1, 6.1

Аватара пользователя
kolesya
сержант
Сообщения: 191
Зарегистрирован: 2006-10-17 15:54:01
Откуда: Украина, Киев

Re: Немогу зайти по FTP

Непрочитанное сообщение kolesya » 2008-04-29 13:19:41

кстати, диапазон портов для фтп не менял случаем ?
смотрятся так

Код: Выделить всё

sysctl net.inet.ip.portrange.first
sysctl net.inet.ip.portrange.last
их и в фаере указывай

Аватара пользователя
kolesya
сержант
Сообщения: 191
Зарегистрирован: 2006-10-17 15:54:01
Откуда: Украина, Киев

Re: Немогу зайти по FTP

Непрочитанное сообщение kolesya » 2008-04-29 13:20:55

кстати, обрати внимание на файлик :)

Код: Выделить всё

cat /etc/ftpusers

Аватара пользователя
GreenDay
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-21 20:25:39
Откуда: Новосибирск
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение GreenDay » 2008-04-29 13:27:00

кстати есть кнопка правка
ссори за оффтоп.
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-30 11:22:08

manefesto писал(а):читать! На сайте есть аж две статьи по фаеру
по ним я и делал
когда не будь мы за это поплатимся....

Аватара пользователя
radiofannat
сержант
Сообщения: 155
Зарегистрирован: 2007-09-12 14:07:39
Откуда: Украина
Контактная информация:

Re: Немогу зайти по FTP

Непрочитанное сообщение radiofannat » 2008-04-30 11:24:00

kolesya писал(а):ipfw модулем грузитсо, или в ядро вкомпилен ?
если модулем грузится - бывают лажи - log в правилах не отрабатывает.
сталкивался на 5.2.1, 6.1
я компилил ядро вместе с фаером
когда не будь мы за это поплатимся....