forum.lissyara.su

Добавлено: **2008-04-22 21:18:45**

на сервере стоит freebsd 5.5 запущен встроеннный FTP Server (Version 6.00LS), всё работает на ура но вот беда... при включенном IPFW немогу зайти с мира на FTP, осёл пишет версию и пытается найти чтото... после время проходит и связь прерывается, так и не прочитав ничего... при чём на ssh на http зайти можно, в нутри сетки всё работает...
привожу конфиг ipfw.conf

Код: Выделить всё

#!/bin/sh
ipfw -q -f flush

FwCMD="ipfw -q add"
LanOut="ed0"
LanIn="rl0"
IpOut="х.х.х.х"
IpIn="192.168.10.1"
NetMask="24"
NetIn="192.168.10.0"

#${FwCMD} 00010 check-state
${FwCMD} 00015 allow ip from any to any via lo0
${FwCMD} 00020 deny ip from any to 127.0.0.0/8
${FwCMD} 00025 deny ip from 127.0.0.0/8 to any

# mrtg.
${FwCMD} 00040 count ip from any to any in via ${LanOut}
${FwCMD} 00041 count ip from any to any out via ${LanOut}
${FwCMD} 00042 count ip from any to any in via ${LanIn}
${FwCMD} 00043 count ip from any to any out via ${LanIn}

# portsentry
${FwCMD} 00045 allow tcp from any to ${IpOut} \
1,11,15,23,79,81,111,119,540,635 via ${LanOut}
${FwCMD} 00046 allow tcp from any to ${IpOut} \
1080,1524,2000,5742,6667,8080,8085 via ${LanOut}
${FwCMD} 00047 allow udp from any to ${IpOut} \
1,7,9,69,513,635,640,641,700 via ${LanOut}

# ICMP 
${FwCMD} 00050 deny icmp from any to any frag
#${FwCMD} 00051 allow icmp from any to any icmptype 0,8,11
#${FwCMD} 00052 allow icmp from any to any via ${LanOut}

${FwCMD} 00061 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} 00062 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} 00063 deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} 00064 deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} 00065 deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} 00066 deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} 00068 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} 00069 deny log icmp from any to 255.255.255.255 out via ${LanOut}

# NAT.
${FwCMD} 00070 divert natd all from any to any via ${LanOut}

${FwCMD} 00070 divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} 00071 divert natd ip from any to ${IpOut} in via ${LanOut}

${FwCMD} 00110 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} 00111 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} 00112 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} 00113 deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} 00114 deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} 00115 deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} 00116 deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} 00120 allow tcp from any to any established

${FwCMD} 00121 allow ip from ${IpOut} to any out xmit ${LanOut}

# dns.
${FwCMD} 00300 allow udp from any to any 53 via ${LanOut}
${FwCMD} 00310 allow udp from any 53 to any via ${LanOut}

# ftp.
${FwCMD} 00320 allow tcp from any to any 20 via ${LanOut}
${FwCMD} 00330 allow tcp from any 20 to any via ${LanOut}
${FwCMD} 00340 allow tcp from any to any 21 via ${LanOut}
${FwCMD} 00350 allow tcp from any 21 to any via ${LanOut}

# smtp.
#${FwCMD} 00360 allow tcp from any to any 25 via ${LanOut}
#${FwCMD} 00370 allow tcp from any 25 to any via ${LanOut}

# ssh.
${FwCMD} 00380 allow tcp from any to any 32 via ${LanOut}
${FwCMD} 00390 allow tcp from any 32 to any via ${LanOut}

# http https.
${FwCMD} 00400 allow tcp from any to any 80,443 via ${LanOut}
${FwCMD} 00410 allow tcp from any 80,443 to any via ${LanOut}

# pop3.
#${FwCMD} 00420 allow tcp from any to any 110 via ${LanOut}
#${FwCMD} 00430 allow tcp from any 110 to any via ${LanOut}

${FwCMD} 00510 allow gre from any to any via ${LanIn}
${FwCMD} 00520 allow tcp from any to any via ${LanIn}
${FwCMD} 00540 allow udp from any to any via ${LanIn}
${FwCMD} 00550 allow icmp from any to any via ${LanIn}

${FwCMD} 00999 deny ip from any to any

когда прописую firewall_type="OPEN" то FTP в мир нормально работает...
в чём проблема? правила неправельные или сам фтп глючный? я нехочу устанавливать дополнительные чтото типа vsftp или proftp что посоветуете???

если есть ещё какие то ошибки в правилах то поправте....

Добавлено: **2008-04-22 21:26:06**

Нужно добавить в rc.conf

Код: Выделить всё

firewall_logging="NO"           # Set to YES to enable events logging

И потом использовать действие log на всех правилах использующих DENY. Если правило последнее, тогда добавить перед ним:

Код: Выделить всё

ipfw add 65534 deny log ip from any to any

Все прибитые пакеты будут записаны в /var/log/security в котором можно найти всю информацию о том, что блокируется.

Добавлено: **2008-04-23 1:49:17**

тоесть добавить в последнее правило "log" ??

Код: Выделить всё

${FwCMD} 00999 deny log ip from any to any

и такой вопрос, последнее правило обязательно должно быть с номером 65534???

Добавлено: **2008-04-23 10:54:06**

Нет, главное чтобы ты понимал фаер. А где будет правило не имеет значения.

Добавлено: **2008-04-23 23:48:48**

вот лог с заблокированным IP:

Код: Выделить всё

Apr 23 23:19:52 free kernel: ipfw: 999 Deny TCP 92.113.97.112:62152 х.х.х.х:59419 in via ed0
Apr 23 23:19:55 free kernel: ipfw: 999 Deny TCP 92.113.97.112:62152 х.х.х.х:59419 in via ed0
Apr 23 23:21:19 free last message repeated 2 times

непонимаю одного, почему порт пишет не 21 а левый какой то???

Добавлено: **2008-04-24 8:43:35**

Ты про пассивный/активный FTP знаешь что? Почитай на досуге.

Добавлено: **2008-04-24 20:26:30**

dikens3 писал(а):Ты про пассивный/активный FTP знаешь что? Почитай на досуге.

подскажи литературку...

Добавлено: **2008-04-24 21:39:43**

http://netpromoter.ru/linkutility/help/ftp.html

Добавлено: **2008-04-25 9:05:29**

это всё хорошо, но я так и не понял... конкретно можно? как в IPFW зделать пасивный / активный режим FTP????

Добавлено: **2008-04-25 10:15:39**

конретно нужно открыть порты 49152-65535

Добавлено: **2008-04-25 14:43:49**

сейчас попробую...

Код: Выделить всё

${FwCMD} 00355 allow tcp from any to 49152-65535 via ${LanOut}

Добавлено: **2008-04-25 15:59:00**

мля люди... что за нах... всё упало и неизвено как! после прописки правила и перезагрузки нет сети, подключил монитор к серваку и что я вижу... при загрузке файр вобще не включается... пинга совсем никакова даже 127.0.0.1, ifconfig пишет всё хорошо и призагрузке тоже... захожу в etc/rc.d ./ipfw start или stop - ноль эмоций! не стартует и не останавливается! всё вернул как было... reboot... всё снова так же! куда всё делось? где копать??? HELLP!!!!!!

Добавлено: **2008-04-25 16:22:19**

ipfw вообще загружается?
Что показывает ipfw show?

Добавлено: **2008-04-25 17:29:26**

radiofannat писал(а):сейчас попробую...
Код: Выделить всё
${FwCMD} 00355 allow tcp from any to 49152-65535 via ${LanOut}

а где же там to any?

Добавлено: **2008-04-26 9:58:42**

пацаны вот я протупил....
вчера по пьяне прописал в rc.conf
#firewall_enable="YES"
а точнее закомениревал случайно....
это хохма....

Добавлено: **2008-04-26 10:02:49**

GreenDay писал(а):
radiofannat писал(а):сейчас попробую...
Код: Выделить всё
${FwCMD} 00355 allow tcp from any to 49152-65535 via ${LanOut}
а где же там to any?

всё поправил...
всем спосибо, FreeBSD форева!!!!

Добавлено: **2008-04-26 11:14:32**

всё равно люди не могут зайти...

Код: Выделить всё

${FwCMD} 00320 allow tcp from any to any 20 via ${LanOut}
${FwCMD} 00330 allow tcp from any 20 to any via ${LanOut}
${FwCMD} 00340 allow tcp from any to any 21 via ${LanOut}
${FwCMD} 00350 allow tcp from any 21 to any via ${LanOut}
${FwCMD} 00355 allow tcp from any to any 49152-65535 via ${LanOut}

удалил /var/log/security...
при этом конфиге новые логи с заблокиреванными IP не создались...
что я снова не так делаю???

Добавлено: **2008-04-28 23:03:00**

есть какие то предложения???

Добавлено: **2008-04-29 6:29:58**

читать! На сайте есть аж две статьи по фаеру

Добавлено: **2008-04-29 13:16:36**

ipfw модулем грузитсо, или в ядро вкомпилен ?
если модулем грузится - бывают лажи - log в правилах не отрабатывает.
сталкивался на 5.2.1, 6.1

Добавлено: **2008-04-29 13:19:41**

кстати, диапазон портов для фтп не менял случаем ?
смотрятся так

Код: Выделить всё

sysctl net.inet.ip.portrange.first
sysctl net.inet.ip.portrange.last

их и в фаере указывай

Добавлено: **2008-04-29 13:20:55**

кстати, обрати внимание на файлик

Код: Выделить всё

cat /etc/ftpusers

Добавлено: **2008-04-29 13:27:00**

кстати есть кнопка правка
ссори за оффтоп.

Добавлено: **2008-04-30 11:22:08**

manefesto писал(а):читать! На сайте есть аж две статьи по фаеру

по ним я и делал

Добавлено: **2008-04-30 11:24:00**

kolesya писал(а):ipfw модулем грузитсо, или в ядро вкомпилен ?
если модулем грузится - бывают лажи - log в правилах не отрабатывает.
сталкивался на 5.2.1, 6.1

я компилил ядро вместе с фаером

forum.lissyara.su

Немогу зайти по FTP

Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP

Re: Немогу зайти по FTP