forum.lissyara.su

Добавлено: **2010-08-09 12:09:16**

Есть такая проблема, второй день бьюсь с настройкой ipfilter есть тестовая машина в локальной сети на ней FTP, Apache и доступ по ssh. Задача при помощи данного фильтра открыть только это остальное прорезать написал такой вот конфиг

Код: Выделить всё

block in  all
block out all
pass out quick on lo0 from 127.0.0.0/8 to 127.0.0.0/8
pass in quick on lo0 from 127.0.0.0/8 to 127.0.0.0/8
pass in quick on rl1        proto icmp from any to 192.168.1.2/32
pass out quick on rl1       proto icmp from 192.168.1.2/32 to any
pass in quick on rl1        proto tcp from any to 192.168.1.2/32 port = 21 keep state
pass in quick on rl1        proto tcp from any to 192.168.1.2/32 port = 22
pass in quick on rl1        proto tcp from any to 192.168.1.2/32 port = 80
pass out quick on rl1       proto tcp/udp from 192.168.1.2/32 to any

Что имею фильтр работает но!!! ssh клиент коннектится к серверу секунд по 20 icmp пакеты вроде летят, ftp клиент висит висит и отваливается так и не приконнектившись. Apache при этом работает нормально nmap c внешнего хоста показывает
fisher@fisher-laptop:~$ nmap 192.168.1.2
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-09 16:55 KRAST
Interesting ports on server (192.168.1.2):
Not shown: 997 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http

Добавлено: **2010-08-09 15:55:32**

Ну неужели ни у кого нет никаких мыслей по этому поводу?

Добавлено: **2010-08-09 16:27:34**

Пишите про проблемы с фаерволами в раздел Networks.

По сабжу - наверное не работает ДНС, поэтому таймаут у sshd.

Добавлено: **2010-08-09 16:31:32**

Дмитрий Захаревич писал(а):ssh клиент коннектится к серверу секунд по 20 icmp пакеты вроде летят, ftp клиент висит висит и отваливается так и не приконнектившись.

DNS на сервере прописан?

Для FTP нужно два порта - 20 и 21, а не только 21-ый.

Добавлено: **2010-08-09 18:16:32**

mash55 писал(а):Для FTP нужно два порта - 20 и 21, а не только 21-ый.

Для passive - нет, только 21.

Добавлено: **2010-08-09 19:32:26**

А при чем тут DNS обе машины тестовый сервер и та с которой конэкчус находятсяв одной сети шлюз 192.168.1.1 все нормально резолвится. В общем повозившись решил попробовать вместо IPF PF накидал вот такой конфиг

Код: Выделить всё

## SET VAR
lan_if = "rl0"
lan_net = "192.168.1.0/24"
icmp_types="{ echoreq, unreach}"
### SET loopback and packet
set skip on lo0
scrub in all
### GLOBAL DENY
block all
### ICMP
pass inet proto icmp all icmp-type $icmp_types
### EXT TRAF
pass out quick on $lan_if from $lan_if to any
### RULES SERVICES
pass in quick on $lan_if proto tcp from $lan_net to $lan_if port 22 flags S/SA keep state
pass in quick on $lan_if proto tcp from $lan_net to $lan_if port 21 flags S/SA keep state
pass in quick on $lan_if proto tcp from $lan_net to $lan_if port 80 flags S/SA keep state

Всё работает. FTP конектится льет файло спокойно SSH не тормозит В чем дело понять не могу

Добавлено: **2010-08-10 12:07:58**

Возможно дело в keep-state. В PF оно по умолчанию, да и в вашем конфиге явно указано, а в IPF вы его не использовали (кроме порта ftp). Может быть что-то не так идет при работе без сохранения состояний.

forum.lissyara.su

IPFilter

IPFilter

Re: IPFilter

Re: IPFilter

Re: IPFilter

Re: IPFilter

Re: IPFilter

Re: IPFilter