pf ftpd

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
legioner
ефрейтор
Сообщения: 62
Зарегистрирован: 2009-09-17 18:34:08
Откуда: Чебоксары

pf ftpd

Непрочитанное сообщение legioner » 2009-10-21 16:54:18

есть pf,ftpd.
конфиг pf

Код: Выделить всё

ext_if = "rl0"

block in all
block out all

pass in on $ext_if proto udp from any to $ext_if port 21 keep state
pass in on $ext_if proto tcp from any to $ext_if port 21 keep state
pass in on $ext_if proto tcp from any to $ext_if port 80
хочу чтобы люди могли заходить на ftp. причем на веб сервер можно заходить даже без keep state (знаю что она по умолчанию)
если убрать block in all и block out all то все норм. не знаю как решить проблему. между сервером и клиентом есть хаб но он по моему не должен ни на что влиять.
набираю pfctl -ss
видно что с комп обращаеться к серверу. пишет

Код: Выделить всё

all tcp 192.168.0.11:21 <- 192.168.0.10:1091 TIME_WAIT:TIME_WAIT
all tcp 192.168.0.11:21 <- 192.168.0.10:1092 ESTABLISHED:FIN_WAIT_2
Если требуется достичь максимальной эффективности то следует пользоваться своей силой открыто и честно (c) Дарт Вейдер

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: pf ftpd

Непрочитанное сообщение Yukh » 2009-10-21 17:09:23

Для активного FTP соединения нужен еще порт 20 (ftp-data).
Для пассивного - диапазон портов. У меня указан 49152:65534 и он же в настройках proftpd прописан.

Правила с работающего сервера:

Код: Выделить всё

# Блокируем все на вход
block in log all

# Разрешаем http, ftp, ftp-data, пассивные порты, прописанные в конфиге proftpd
pass in on $ext_if proto { tcp, udp } from any to $ext_if port { http, ftp, ftp-data, 25, 49152:65534 }

# Разрешаем DNS рекурсию и zone transfer (без этого руцентр не может проверить правильность зоны).
pass in on $ext_if proto { tcp, udp } from any to $ext_if port 53 keep state

# Разрешаем все на выход
pass out on $ext_if all keep state

# Ну и чтоб пингалось снаружи =)
pass in on $ext_if proto icmp keep state

Аватара пользователя
legioner
ефрейтор
Сообщения: 62
Зарегистрирован: 2009-09-17 18:34:08
Откуда: Чебоксары

Re: pf ftpd

Непрочитанное сообщение legioner » 2009-10-21 17:19:28

у меня вопрос а как узнать в каком режиме запущени ftpd. если в пассивном где мне указать какие порты слушать.
Если требуется достичь максимальной эффективности то следует пользоваться своей силой открыто и честно (c) Дарт Вейдер

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: pf ftpd

Непрочитанное сообщение Yukh » 2009-10-21 17:21:33

Неправильный вопрос. ftpd запущен и точка. А как ты к нему подключаешься - указываешь в настройках клиента. Я люблю пользоваться пассивным FTP.

Аватара пользователя
legioner
ефрейтор
Сообщения: 62
Зарегистрирован: 2009-09-17 18:34:08
Откуда: Чебоксары

Re: pf ftpd

Непрочитанное сообщение legioner » 2009-10-21 17:36:01

прописал в конфиге

Код: Выделить всё

pass in on $ext_if proto { tcp, udp} from any to $ext_if port { 21, 20}
в тотал командер убрал галочку пассивынй режим. зависает . пишет

Код: Выделить всё

227 Entering Passive Mode 192,168,0,11,209,126
Чтение каталога
получаеться о коннектиться пассивном режиме и порты ftp-data = 209,126.
прописал в pf.conf

Код: Выделить всё

pass in on $ext_if proto { tcp, udp} from any to $ext_if port { 21, 20, 209, 126}
то же самое. заметил что тотал перебирает порты. как мне узнать ftpd демон какие порты выставил для ftp-data. и являються ли они стандартом или он выставляет их произвольно.
Если требуется достичь максимальной эффективности то следует пользоваться своей силой открыто и честно (c) Дарт Вейдер

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: pf ftpd

Непрочитанное сообщение Yukh » 2009-10-21 17:41:55

ftp-data - это 20 порт и он предназначен строго для активного соединения.

Мой совет - поставь proftpd и не заморачивайся, он намного более конфигурабельный, нежели штатный proftpd.
Если нужна помощь в его настройке - пиши в аську или почту (контакты в профиле есть).

Аватара пользователя
legioner
ефрейтор
Сообщения: 62
Зарегистрирован: 2009-09-17 18:34:08
Откуда: Чебоксары

Re: pf ftpd

Непрочитанное сообщение legioner » 2009-10-21 17:48:48

насчет другого Ftp. я пытался поставить proftpd он не ставиться вываливаеться с ошибкой.

Код: Выделить всё

mod_ban.c:46:3: error: #error "Control support required (use --enable-ctrls)"
далее еще много ошибок в mod_ban.c
gmake[1]: *** [mod_ban.o] ошибка 1
пойду читать man к ftpd :smile:
Если требуется достичь максимальной эффективности то следует пользоваться своей силой открыто и честно (c) Дарт Вейдер

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: pf ftpd

Непрочитанное сообщение reLax » 2009-10-21 18:42:38

Ерундой не занимайтесь, человек спросил про ftpd.
sysctl

Код: Выделить всё

net.inet.ip.portrange.first
net.inet.ip.portrange.last
Те же порты, которые будут указаны в sysctl указать и в pf, как просто разрешенные входящие, ибо порты протокол FTP назначает на совсем другом уровне модели OSI, нежели на котором работает pf :)

Аватара пользователя
legioner
ефрейтор
Сообщения: 62
Зарегистрирован: 2009-09-17 18:34:08
Откуда: Чебоксары

Re: pf ftpd

Непрочитанное сообщение legioner » 2009-10-22 10:15:45

sysctl -a | grep net.inet.ip выдал

Код: Выделить всё

net.inet.ip.portrange.last      65535
net.inet.ip.portrange.first     49152
указал в pf.conf

Код: Выделить всё

pass in on $ext_if proto {tcp, udp} from any to $ext_if port {21,20,49152:65535}
Все :good: reLax спс. хотел спросить а открытые порты с 49152 до 65535 как будет влиять на безопасность.