Одесса: 12°С (вода 8°С)
Киев: 8°С
Львов: 0°С

Тема: Проблема подключении к определенному ФТП ( грешу на pf)

Ответить в теме
Показано с 1 по 12 из 12
  1. Вверх #1
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17

    По умолчанию Проблема подключении к определенному ФТП ( грешу на pf)

    Здраввствуйте

    Итак имеем - маршрутизатор на Freebsd 7.1-release. фаервол на PF крутится.
    Проблема: Немогу подключиться на определенный фтп - рабочий мой с компа который за маршрутизатором находится(тобишь за натом)

    С фряхи коннект без проблем проходит, как в активном так и в пассивном режиме.

    С клиентской машины пробую подключиться естественно в пассивном режиме(в активном конечно тоже пробовал
    С клиентской машины на все остальные фтп я могу без проблем подключиться, я пробовал на ftp.drweb.com например.

    Вот примеры подключений на др вэб
    Код:
     ftp ftp.drweb.com
    Trying 81.177.37.3...
    Connected to ftp.drweb.com (81.177.37.3).
    220 Welcome to Dr.Web FTP service.
    Name (ftp.drweb.com:root): anonymous
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> cd pub
    250 Directory successfully changed.
    ftp> ls
    227 Entering Passive Mode (81,177,37,3,251,106)
    150 Here comes the directory listing.
    drwxr-xr-x   21 1001     1002         4096 Nov 24 09:27 drweb
    226 Directory send OK.
    ftp> quit
    221 Goodbye.
    а вот пример подключения на мой рабочий фтп
    Код:
    ftp host.com
    Connected to host.com (81.25.xx.xx).
    220 ProFTPD 1.3.2b Server [192.168.230.1]
    Name (host.com:root): anonymous
    331 Anonymous login ok, send your complete email address as your password
    Password:
    230 Anonymous access granted, restrictions apply
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> cd pub
    250 CWD command successful
    ftp> ls
    227 Entering Passive Mode (192,168,230,1,230,155).
    ftp: connect: В соединении отказано
    ftp> quit
    221 Goodbye.
    Как видим что по папкам я могу ходить на рабочем компе, но вот список файлов получить увы, не могу.
    Ненадо говорить, что неправильно настроен сервер на работе, т.к. с других провайдеров люди без проблем на фтп заходят (которые за маршрутизаторами сидят, так и напрямую без них).
    И мой айпи там незабанен. На работе фтп собственно сидит за маршрутизатором, на котором PF и freebsd лежат.

    Ошибка кроется в сообщении "в соединении отказано".

    pftop команда выводит следующее при подключении к дрвэбу в пассиве
    Код:
    tcp       Out 192.168.100.2:54474                      81.177.37.3:64818                         FIN_WAIT_2:FIN_WAIT_2
    tcp       In  192.168.100.2:54474                      81.177.37.3:64818                         FIN_WAIT_2:FIN_WAIT_2
    tcp       Out 192.168.100.2:47556                      81.177.37.3:21                           ESTABLISHED:ESTABLISHED
    tcp       In  192.168.100.2:47556                      81.177.37.3:21                           ESTABLISHED:ESTABLISHED
    как видим - создается 4 стейта, а вот при подключении к работе
    пассив
    Код:
    tcp       Out 192.168.100.2:52885                   81.25.хх.хх:21                     ESTABLISHED:ESTABLISHED
    tcp       In  192.168.100.2:52885                   81.25.хх.хх:21                     ESTABLISHED:ESTABLISHED
    актив
    Код:
    tcp       Out 192.168.100.2:52884                   81.25.хх.хх:21                      FIN_WAIT_2:FIN_WAIT_2
    tcp       In  192.168.100.2:52884                   81.25.хх.хх:21                      FIN_WAIT_2:FIN_WAIT_2
    а в этом случае по 2 стейта в каждом из разных режимов.

    Куда собственно рыть надо?
    Если нужен будет конфиг pfctl - выложу

    Заранее благодарю


  2. Вверх #2
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    проблема решена!

  3. Вверх #3
    Посетитель Аватар для parshivets
    Пол
    Мужской
    Возраст
    32
    Сообщений
    157
    Репутация
    24
    и что было не так?
    ICQ- 447504882

  4. Вверх #4
    Не покидает форум Аватар для vlad11
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    5,572
    Репутация
    504
    Он ipfw поставил
    я вмію налаштовувати BGP, ASN, IPv6, Linux та FreeBSD

  5. Вверх #5
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    Хрен я перейду на ипфв обратно.
    Интересно так, что люди заинтересовались как я решил
    А решил очень просто - поставил по оф руководству PF - фтп прокси, все как часы заработало! в обоих режимах еще!

  6. Вверх #6
    Не покидает форум Аватар для vlad11
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    5,572
    Репутация
    504
    Цитата Сообщение от sv_igor Посмотреть сообщение
    Хрен я перейду на ипфв обратно.
    Интересно так, что люди заинтересовались как я решил
    А решил очень просто - поставил по оф руководству PF - фтп прокси, все как часы заработало! в обоих режимах еще!
    лол.
    костыль поставил
    я вмію налаштовувати BGP, ASN, IPv6, Linux та FreeBSD

  7. Вверх #7
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    Цитата Сообщение от vlad11 Посмотреть сообщение
    лол.
    костыль поставил
    Обоснуйте. Какой еще костыль? Есть другие у Вас варианты как обойти данную проблему? Если нету - нечего слова на ветер кидать!

  8. Вверх #8
    Не покидает форум Аватар для vlad11
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    5,572
    Репутация
    504
    Цитата Сообщение от sv_igor Посмотреть сообщение
    Обоснуйте. Какой еще костыль? Есть другие у Вас варианты как обойти данную проблему? Если нету - нечего слова на ветер кидать!
    Правильно настройте свой firewall.
    ipfw с правильно настроенным пропуском пакетов установленных соединений решит проблему.
    Еще раз внимательно посмотрите логику работы ftp и pf.
    Костыли в виде прокси решат часть проблем, но добавят других.
    я вмію налаштовувати BGP, ASN, IPv6, Linux та FreeBSD

  9. Вверх #9
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    Фаервол правильно настроен. Зачем, тогда в официальном руководстве писать про фтппрокси? Логика работы в обоих режимах мне понятна, но другого варианта нет заставить запустить оба режима....работает тока пассивный, без фтп прокси. да и тут свой нат(в pf)

  10. Вверх #10
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,358
    Репутация
    6089
    Цитата Сообщение от sv_igor Посмотреть сообщение
    Фаервол правильно настроен. Зачем, тогда в официальном руководстве писать про фтппрокси? Логика работы в обоих режимах мне понятна, но другого варианта нет заставить запустить оба режима....работает тока пассивный, без фтп прокси. да и тут свой нат(в pf)
    Смотрим сюда http://ru.wikipedia.org/wiki/FTP, а потом на Ваши логи.


    Connected to host.com (81.25.xx.xx).
    220 ProFTPD 1.3.2b Server [192.168.230.1]
    ...
    227 Entering Passive Mode (192,168,230,1,230,155).


    Клиент должен открыть соединение на переданый IP. Какого сервер отдает 192,168,230,1 если подключались вы к 81.25.xx.xx?

    PS И посмотрите на лог подключения к drweb. Там все правильно, у вас где-то (на сервере, на роутере) что-то не правильно настроено.

    А для того чтобы заработал активный режим смотрите в cторону UPNP. Для фряхи вроде как есть, но я на фряхе нкогда не юзал.

  11. Вверх #11
    Не покидает форум Аватар для vlad11
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    5,572
    Репутация
    504
    Цитата Сообщение от sv_igor Посмотреть сообщение
    Фаервол правильно настроен. Зачем, тогда в официальном руководстве писать про фтппрокси? Логика работы в обоих режимах мне понятна, но другого варианта нет заставить запустить оба режима....работает тока пассивный, без фтп прокси. да и тут свой нат(в pf)
    Если не работает опция, то почему настройки правильны?

    man pf.conf(5)
    If the pass modifier is given, packets matching the translation rule are
    passed without inspecting the filter rules:
    rdr pass on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 \
    port 8080
    И это не забудь:

    pass in on $ext_if proto tcp from any to any port 21 keep state
    pass in on $ext_if proto tcp from any to any port > 49151 keep state
    я вмію налаштовувати BGP, ASN, IPv6, Linux та FreeBSD

  12. Вверх #12
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    rdr pass on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 \
    port 8080
    хехе, а Вы что не видите что здесь явный редирект идет на локальный комп? и явный прокси...либо расскажите что лежит на 8080 порту?)))
    Да и при чем тут кстати 80 порт?
    Кстати таким же почти редиректом работает и фтп прокси
    rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 \
    port 8021

    Узнали Ваш пост?

    pass in on $ext_if proto tcp from any to any port 21 keep state
    pass in on $ext_if proto tcp from any to any port > 49151 keep state
    ну а это есть в мануале официальном по pf - Вы его небось читали? эти правила для того чтобы мой сервак, у которого внешний ип(переменная $ext_if на это указывает) разрешал пассивные фтп соединения на него
    в разделе PF "Self-Protecting" an FTP Server указано!

    2maxx: я извиняюсь забыл сказать - что на том фтп (тот что 81.25.х.х) таки да лажа ....
    но щас решаю проблему с тем что pf для клиентов которые за натом - у которых установлен активный фтп режим - ну ни в какую не хочет подключаться без использования ftpproxy_enable="YES"
    ну и соотвествующих правил

    Вот что пишет когда на другие фтп подключаюсь в активном режиме за натом
    Код:
    # ftp
    ftp> passive
    Passive mode off.
    ftp> open ftp.drweb.com
    Trying 210.233.71.100...
    Connected to ftp.drweb.com (210.233.71.100).
    220 Welcome to Dr.Web FTP service.
    Name (ftp.drweb.com:root): anonymous
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> ls
    500 Illegal PORT command.
    ftp: bind: Адрес уже используется
    ftp>
    Последний раз редактировалось sv_igor; 13.01.2010 в 23:12.


Ответить в теме

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения