Страница 1 из 1
PF и FTP в passive mode
Добавлено: 2011-10-26 17:30:04
VVereVVolf
Есть боевой сервер на FreeBSD 8 с фаерволом PF Политика настроек фаервола блочить все, разрешить некоторое. Закрыты все порты кроме использующихся на сервере, суть проблемы при коннекте на сервер к FTP в passive mode клиент зависает MLSD (при получение списка директорий), причина то понятна клиенту отсылается рамдомный порт для коннекта к серверу, ну а на сервере то все прикрыто, какие есть возможны выходи чтоб не открывать все порты
Re: PF и FTP в passive mode
Добавлено: 2011-10-26 18:49:55
VVereVVolf
как временную меру я сделал так
pass in quick on $ext_if proto tcp from any to any port 20 flags S/SA keep state ## разрешаем 20 порт
pass in quick on $ext_if proto tcp from any to any port 21 flags S/SA keep state ## разрешаем 21 порт
pass in quick on $ext_if proto tcp from any to any port > 49151 keep state ## разрешаем порты выше 49151 для passive FTP mode
Re: PF и FTP в passive mode
Добавлено: 2013-12-02 17:33:39
tom.cat
Обновлю некротемку. Не работает ftp в пассивном режиме, хотя в правилах разрешено:
Код: Выделить всё
pass in on $ext_if proto tcp from any to $ext_if port {20,21,49152:65535} flags S/SA synproxy state
Re: PF и FTP в passive mode
Добавлено: 2013-12-03 9:04:07
BlitzKrieg
Подключиться на порт команд получается?
Re: PF и FTP в passive mode
Добавлено: 2013-12-03 13:29:15
tom.cat
Да, лог с подробностями:
Код: Выделить всё
$ ftp server.info
Connected to server.info.
220 ProFTPD 1.3.4d Server (Dedicated FTP Server) [server]
Name (server.info:user): user
331 Password required for user
Password:
230 User user logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||39650|)
ftp: Can't connect to `server:39650': Operation timed out
200 EPRT command successful
150 Opening ASCII mode data connection for file list
Потом выводит список каталогов. Но в filezilla клиенте соединение просто умирает.
Re: PF и FTP в passive mode
Добавлено: 2013-12-03 13:43:09
BlitzKrieg
Вероятно это порт 39650 в правиле я его у Вас не вижу. Для пассивного режима нужно открыть диапозон портов ширше либо указать серверу использовать только разрешенный Вами диапозон.
Re: PF и FTP в passive mode
Добавлено: 2013-12-03 13:49:59
tom.cat
BlitzKrieg писал(а):Вероятно это порт 39650 в правиле я его у Вас не вижу. Для пассивного режима нужно открыть диапозон портов ширше либо указать серверу использовать только разрешенный Вами диапозон.
Да, нашел в мануалах для proftpd:
Ща попробую.
=================
P.S. Спасиб, заработало.