ipfw и динамический ip

[Michael /780]

Доброго времени суток!

Может кто сталвивался? На фре 6.2 поднял sshd, vsftpd. Все это хозяйство подключено к провайдеру СТРИМ через adsl-router. Все поднялось. Под занавес поднимаю ipfw и происходит вис сессии ssh когда удаленно открываю mc. Также перестал работать vsftpd (открывается пустая папка) ftp сервак ведь нужен 21 порт, так? Так как на СТРИМе закрыт 21 порт, на adsl роутере у меня сделан проброс порта 21->20 наружу. Т.е. получается пассивный ftp.

Вот правила:

Код: Выделить всё

vpn-gw# ipfw sh
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
00010   0     0 check-state
00011   0     0 allow icmp from any to any in icmptypes 5,9,13,14,15,16,17
00012   0     0 reject ip from 192.168.10.0/24 to any in via rl0
00013   0     0 deny ip from any to 255.255.255.255 via rl0
00014   0     0 deny ip from any to 255.255.255.255 via fxp0
00016   0     0 deny udp from any to any dst-port 137,138 via rl0
00100  28  1696 allow ip from any to any via lo0
00101 195 37806 allow ip from me to any via rl0 keep-state
00121   0     0 allow udp from 192.168.1.1 to me dst-port 53 in via rl0
00125   2    96 allow tcp from any to me dst-port 2221
00131   0     0 allow tcp from any to me dst-port 21
00135   0     0 allow ip from any to me dst-port 5900
00400   0     0 allow tcp from any to me dst-port 1723
00410   0     0 allow gre from any to any
00420   0     0 allow ip from any to any via tun0
01001   0     0 allow ip from 192.168.10.0/24 to any via fxp0
01002   0     0 allow ip from any to 192.168.10.0/24
65535  11  4982 deny ip from any to any

rl0 это внешний интерфейс. 192.168.1.1 это ip adsl router.
Вообще не понимаю почему не идет трафик через 00121 ?
Кстати вис ssh сессии также происходит когда я начинаю что-то ставить из портов.

Перевести модем в bridge не предлагать, серваком я локально уже не рулю давно.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Michael /780]

Вопрос по vsftpd снят. Решилось указанием в конфиге диапазоном pasv_max_port pasv_min_port

[schizoid]

чета такой сумбур, что я так и не понял сути проблемы

[Cancer]

ну походу его просто не пускало на фтп из за фаера + не указал диапозон пасивных портов, со стороны фтп сервака
как в анекдоте

Код: Выделить всё

анектод, призвали сисадмина в Армию, на полигоне стрельба по мишеням, у него все пули в разные стороны. 
На него старшина орет. Тот отвечает, "извините, у меня все нормально. Пули из ствола вылетели, прорблемы на вашей стороне"

[Michael /780]

Основная проблема была это вис сессии ssh при запуске mc и при попытке что-то поставить из портов. Можно представить себе насколько проблема была глобальная т.к. после нескольких зависаний сессий ssh к серваку невозможно было подцепиться и его нужно было как-то ребутить, а физ доступа у меня к нему нет. Приятного мало. Тут уже недоступность vsftpd отходило на второй план. После того как я зафиксировал порты vsftpd и открыл их в ipfw - проблема с висом решилась.

Изначально грешил на на кривость реализации инета на фрю, т.е. многие порты на стриме закрыты и их приходилось обходить. (проброс / переброс портов с помощью D-Link'овского dsl роутера)

Кстати до сих пор не могу понять:
1. почему через правило открывающее 53 порт на фрю не прошло ни одного пакета?
2. На vsftpd появился глюк: после успешной авторизации, затем при обращении к файлам и каталогам через некоторое
время неожиданно появляется окно авторизции и vsftpd не принимает уже никаких логинов до тех пор пока не
сделать

Код: Выделить всё

vsftpd restart

3. Какое правило добавить на ipfw чтобы можно было проводить снаружи диагностику сервака (ping) ?