Страница 1 из 1
pf + ftp-proxy + nat pool
Добавлено: 2010-09-06 14:48:44
shtirlitsus
Есть машина freebsd 8.0 с pf.
реализован NAT на pf. для работы ftp запущен ftp-proxy
nat сделан в виде пула. когда пользователь идёт через пул - ftp-proxy неправильно отрабатывает, т.к. висит на внешнем интерфейсе и про пул не подозревает.
Код: Выделить всё
pf.conf:
nat on ifreal from <users> to any -> 91.XX.XX.XX/28 source-hash
#proxyftp
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr proto tcp from <users> to any port 21 -> 127.0.0.1 port 8021
anchor "ftp-proxy/*"
Задача нормализовать работу клиентов по ftp протоколу совместно с nat-пулом
Re: pf + ftp-proxy + nat pool
Добавлено: 2010-09-08 7:19:18
BlackCat
shtirlitsus, правило для переброса FTP-трафика закрепите на внутреннем интерфейсе(-ах):
Код: Выделить всё
rdr on $if_int proto tcp from <users> to any port 21 -> 127.0.0.1 port 8021
так-же можно якоря ftp-proxy поставить выше правила, включающего NAT
Код: Выделить всё
#proxyftp
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
nat on ifreal from <users> to any -> 91.XX.XX.XX/28 source-hash
Re: pf + ftp-proxy + nat pool
Добавлено: 2010-09-08 8:20:05
shtirlitsus
Благодарю. Помогло размещение редиректа на внутреннем интерфейсе.
Re: pf + ftp-proxy + nat pool
Добавлено: 2010-09-08 8:58:33
BlackCat
shtirlitsus писал(а):Благодарю. Помогло размещение редиректа на внутреннем интерфейсе.
Всегда пожалуйста. А FTP в активном режиме нормально работает? По-идее должен сбоить для определённых узлов.
Re: pf + ftp-proxy + nat pool
Добавлено: 2010-09-08 9:05:00
shtirlitsus
Да. В активном работает не везде.
Re: pf + ftp-proxy + nat pool
Добавлено: 2010-09-13 15:24:18
shtirlitsus
shtirlitsus писал(а):Да. В активном работает не везде.
но народ требует и активный режим. есть варианты решения?
Re: pf + ftp-proxy + nat pool
Добавлено: 2010-09-13 16:34:56
shtirlitsus
PS. загнал докучи якорь выше основного редиректа - помогло вроде
Re: pf + ftp-proxy + nat pool
Добавлено: 2010-09-13 20:54:20
BlackCat
shtirlitsus писал(а):PS. загнал докучи якорь выше основного редиректа - помогло вроде
Можно ещё зафиксировать адрес для исходящих соединений ftp-proxy (опция
-a), но это уже украшательства. Вообще посмотреть бы какой адрес он выбирает для установления соединения и какие правила пишет в NAT-якоря, если совсем нечем заняться будет.