Страница 1 из 1
IPFW и FTP
Добавлено: 2010-02-17 0:45:47
strom
в ipfw открыто следующее
Код: Выделить всё
${FwCMD} add allow tcp from any to me 20,21 in via fxp0 setup
${FwCMD} add allow tcp from any to me 49152-65535 via fxp0
При выкачивании портов из интернета проблема - качается только с freebsd.org и то через раз.
Пробовал открывать firewall и порты закачиваются отовсюду. В чем может быть загадка? Может кто-то сталкивался?
Re: IPFW и FTP
Добавлено: 2010-02-17 13:48:48
schizoid
пожет посмотреть что режется?
Re: IPFW и FTP
Добавлено: 2010-02-17 14:22:15
strom
Все что режется, режется в начале
Код: Выделить всё
#!/bin/sh
#vvodim peremennuyu
FwCMD="/sbin/ipfw "
#sbros pravil
${FwCMD} -f flush
#proverka na sootvetstvie dinamich pravilam
${FwCMD} add check-state
#razreshaem traf po petle
${FwCMD} add allow ip from any to any via lo0
#rubim popytki lo0 kuda-to lezt i otkudato lezt na lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
#vvodim zaprety - rezhem vse chastnye seti na vnesh iface im tam neotkuda vzyatsya
${FwCMD} add deny ip from any to 10.0.0.0/8 in via xl0
${FwCMD} add deny ip from any to 172.16.0.0/12 in via xl0
${FwCMD} add deny ip from any to 192.168.0.0/16 in via xl0
${FwCMD} add deny ip from any to 0.0.0.0/8 in via xl0
#rubim multicast rassylki
${FwCMD} add deny ip from any to 240.0.0.0/4 in via xl0
#rubim fragmentirovannye icmp
${FwCMD} add deny icmp from any to any frag
#rubim broadcast icmp na vnesh iface
${FwCMD} add deny log icmp from any to 255.255.255.255 in via xl0
${FwCMD} add deny log icmp from any to 255.255.255.255 out via xl0
#rubim traffik k private network cherez vnesh iface
${FwCMD} add deny ip from 10.0.0.0/8 to any out via xl0
${FwCMD} add deny ip from 172.16.0.0/12 to any out via xl0
${FwCMD} add deny ip from 192.168.0.0/16 to any out via xl0
${FwCMD} add deny ip from 0.0.0.0/8 to any out via xl0
#rubim multicast rassylki
${FwCMD} add deny ip from 224.0.0.0/4 to any out via xl0
Re: IPFW и FTP
Добавлено: 2010-02-19 15:00:31
arkan
ICMP рубить когда идет работа с FTP надо тоже уметь
Re: IPFW и FTP
Добавлено: 2010-02-19 23:32:50
strom
По-моему, проблема не в ICMP
Опытным путем установил, при вышеописанных правилах подключение в активном режиме ftp происходит нормально, но при пассивном режиме, когда удаленный сервер пытается установить соединение на запрещенном порту, меньшим 49152. Файрволл такое соединение обрубает, что правильно, но никак меня не устраивает,т.к соединение устанавливается далеко не сразу, а раза так с 10-го. Есть ли какие-то безопасные варианты обхода ситуации? Может кто сталкивался?
После внимательного прочтения man по ipfw решилось след образом для шлюза
После всех запретов поставил
Код: Выделить всё
${FwCMD} add allow tcp from me to any 20,21 via xl0 setup
#пассив
${FwCMD} add allow tcp from me to any 1024-65535 via xl0 setup
#дополнение для ftp пассива и прочих установившихся
${FwCMD} add allow tcp from any to any established