pf + ftp-proxy + nat pool

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
shtirlitsus
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-09-06 14:37:44

pf + ftp-proxy + nat pool

Непрочитанное сообщение shtirlitsus » 2010-09-06 14:48:44

Есть машина freebsd 8.0 с pf.
реализован NAT на pf. для работы ftp запущен ftp-proxy
nat сделан в виде пула. когда пользователь идёт через пул - ftp-proxy неправильно отрабатывает, т.к. висит на внешнем интерфейсе и про пул не подозревает.

Код: Выделить всё

pf.conf:
nat on ifreal from <users> to any -> 91.XX.XX.XX/28 source-hash
#proxyftp
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr proto tcp from <users> to any port 21 -> 127.0.0.1 port 8021

anchor "ftp-proxy/*"

Задача нормализовать работу клиентов по ftp протоколу совместно с nat-пулом

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf + ftp-proxy + nat pool

Непрочитанное сообщение BlackCat » 2010-09-08 7:19:18

shtirlitsus, правило для переброса FTP-трафика закрепите на внутреннем интерфейсе(-ах):

Код: Выделить всё

rdr on $if_int proto tcp from <users> to any port 21 -> 127.0.0.1 port 8021
так-же можно якоря ftp-proxy поставить выше правила, включающего NAT

Код: Выделить всё

#proxyftp
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"

nat on ifreal from <users> to any -> 91.XX.XX.XX/28 source-hash

shtirlitsus
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-09-06 14:37:44

Re: pf + ftp-proxy + nat pool

Непрочитанное сообщение shtirlitsus » 2010-09-08 8:20:05

Благодарю. Помогло размещение редиректа на внутреннем интерфейсе.

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf + ftp-proxy + nat pool

Непрочитанное сообщение BlackCat » 2010-09-08 8:58:33

shtirlitsus писал(а):Благодарю. Помогло размещение редиректа на внутреннем интерфейсе.
Всегда пожалуйста. А FTP в активном режиме нормально работает? По-идее должен сбоить для определённых узлов.

shtirlitsus
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-09-06 14:37:44

Re: pf + ftp-proxy + nat pool

Непрочитанное сообщение shtirlitsus » 2010-09-08 9:05:00

Да. В активном работает не везде.

shtirlitsus
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-09-06 14:37:44

Re: pf + ftp-proxy + nat pool

Непрочитанное сообщение shtirlitsus » 2010-09-13 15:24:18

shtirlitsus писал(а):Да. В активном работает не везде.
но народ требует и активный режим. есть варианты решения?

shtirlitsus
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-09-06 14:37:44

Re: pf + ftp-proxy + nat pool

Непрочитанное сообщение shtirlitsus » 2010-09-13 16:34:56

PS. загнал докучи якорь выше основного редиректа - помогло вроде

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf + ftp-proxy + nat pool

Непрочитанное сообщение BlackCat » 2010-09-13 20:54:20

shtirlitsus писал(а):PS. загнал докучи якорь выше основного редиректа - помогло вроде
Можно ещё зафиксировать адрес для исходящих соединений ftp-proxy (опция -a), но это уже украшательства. Вообще посмотреть бы какой адрес он выбирает для установления соединения и какие правила пишет в NAT-якоря, если совсем нечем заняться будет.