Одесса: 1°С (вода 8°С)
Киев: 0°С
Львов: -3°С

Тема: FreeBSD 8.1 PF+FTP-PROXY

Ответить в теме
Показано с 1 по 9 из 9
  1. Вверх #1
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17

    По умолчанию FreeBSD 8.1 PF+FTP-PROXY

    Здравствуйте.

    Не так давно я обновился с FreeBSD 7.1 на 8.1 И от клиентов перестали работать ftp-соединения

    Раньше было реализовано через демон ftp-proxy.

    в правилах pf - следющее:

    код

    In the NAT section:

    nat-anchor "ftp-proxy/*"
    rdr-anchor "ftp-proxy/*"
    rdr pass on $int_if proto tcp from $lan to any port 21 -> 127.0.0.1 port 8021

    In the rule section:

    anchor "ftp-proxy/*"
    pass out proto tcp from $proxy to any port 21


    демон ftp-proxy запущен

    # sockstat|grep 8021
    proxy ftp-proxy 2232 3 tcp4 127.0.0.1:8021 *:*

    ответов с удаенных фтп серверов не получаю, даже прителнетиться не могу

    с самого сервера, где запущен демон - фтп подключения работают на удаленные сервера

    при том когда я в правилах удаляю строчку
    rdr pass on $int_if proto tcp from $lan to any port 21 -> 127.0.0.1 port 8021
    то подключения работают отлично, правда только пассивные...активные ни в какую(для чего собственно и использовался данный демон)

    Подскажите куда лучше глянуть в чем проблема?


  2. Вверх #2
    Посетитель Аватар для jammin
    Пол
    Мужской
    Возраст
    32
    Сообщений
    431
    Репутация
    53
    Чудес не бывает. Рассказывай как обновлялся.

  3. Вверх #3
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    http://www.muff.kiev.ua/node/16

    обновлялся по такому типу

    Оно работало на 7.1 версии, когда ftp-proxy сидел на 127.0.0.1. После обновления до 8.1 работает если запустить ftp-proxy на внутреннем локальном адресе типа 192.168.0.1 до которого юзеры могут достучаться. ну и соотвественно нада указать rdr pass on $int_if proto tcp from $lan to any port 21 -> 192.168.0.1 port 8021

    но почему же оно перестало работать на 127.0.0.1 ?

  4. Вверх #4
    Посетитель Аватар для jammin
    Пол
    Мужской
    Возраст
    32
    Сообщений
    431
    Репутация
    53
    Я с ПФ не работал, к сожалению.
    http://www.lissyara.su/articles/openbsd/syntony/router_part2_pf_advanced/ сюда смотрел? там вроде есть твой случай.

  5. Вверх #5
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    если Вы читали мой первый пост, то я точно так все делал - не заработало!

  6. Вверх #6
    Посетитель Аватар для jammin
    Пол
    Мужской
    Возраст
    32
    Сообщений
    431
    Репутация
    53
    Выложи полностью конфиг ПФ

  7. Вверх #7
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    Код:
    #-------------------------
    # Variables and Macros
    #-------------------------
    
    # interfaces
    inet_if = "tun0"
    ext_if = "em0"
    int_if = "xl0"
    # Block connections
    connblk = "synproxy state ( max-src-conn-rate 5/60, overload <BRUTEFORCERS> flush global )"
    icmp_types="{ echoreq, unreach }"
    
    #-------------------------
    # ip addresses
    #-------------------------
    
    extnet = "{ 10.0.0.0/8, 192.168.252.0/24 }"
    lannet = "{ 192.168.0.0/24, 192.168.2.0/24 }"
    ext_ip = "xxxxxxxxxx"
    server = "192.168.0.1"
    private_nets = "{ 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 224.0.0.0/4 }"
    
    #--------------------------
    # Tables
    #--------------------------
    
    table <uaix> persist file "/etc/pf/prefixes.txt"
    table <BRUTEFORCERS> persist
    
    #-------------------------
    # Ports
    #-------------------------
    
    sshlhc = "22"
    sshserver = "222"
    tcp_ports = "{ smtp, http, pop3, ftp, ftp-data, domain, 8089, 8090, 6688, 3784 }"
    udp_ports = "{ domain, smtp, http, ftp, ftp-data, 6688, 3784 }"
    
    #-------------------------
    # Options
    #-------------------------
    
    # Default policy
    set block-policy return
    # Type of optimization
    #set optimization normal
    # State-policy
    #set state-policy floating
    # skip pf on lo0 interface
    set skip on lo0
    #timeout to tcp packets
    set timeout { frag 10, tcp.established 3600 }
    # Normaliztion for all interfaces
    scrub in all
    
    #-------------------------
    # Queue & Speed Control
    #-------------------------
    
    # altqs
    altq on $int_if cbq bandwidth 1000Mb queue { def_download }
    altq on $inet_if cbq bandwidth 1000Mb queue { def_upload }
    
    queue def_download on $int_if bandwidth 100% cbq(default) { 192.168.0.2_ii, 192.168.0.2_ui }
    queue def_upload on $inet_if bandwidth 100% cbq(default) { 192.168.0.2_io, 192.168.0.2_uo }
    # users1 queues
    queue 192.168.0.2_ii bandwidth 20240Kb cbq(ecn)
    queue 192.168.0.2_io bandwidth 1024Kb cbq(ecn)
    queue 192.168.0.2_ui bandwidth 20240Kb cbq(ecn)
    queue 192.168.0.2_uo bandwidth 1024Kb cbq(ecn)
    #--------------------------
    # NAT & Redirect
    #--------------------------
    
    # Nat from local net to inet
    nat on $inet_if from $lannet to any -> $ext_ip
    # Nat from local net to ext_net
    nat on $ext_if from $lannet to $extnet -> ($ext_if)
    # Redirect ports
    # For Active FTP sessions
    nat-anchor "ftp-proxy/*"
    rdr-anchor "ftp-proxy/*"
    rdr on $int_if proto tcp from any to ! (self) port 21 -> 127.0.0.1 port 8021
    # to server ssh
    rdr proto tcp from any to $ext_ip port $sshserver -> $server port ssh
    
    #--------------------------
    # Filter Rules
    #--------------------------
    
    # Block all
    block all
    # IGMP IPTV
    pass in quick proto igmp from $lannet to any allow-opts no state
    pass quick on { $ext_if $int_if } proto igmp allow-opts no state
    pass quick proto udp from 192.168.252.0/24 to any allow-opts no state
    # Antispoof
    antispoof quick for { lo0, $int_if, $ext_if, $inet_if }
    # Block all from inet to private networks via internet interface
    block drop in quick on $inet_if from $private_nets to any
    # Block all spammers
    block drop quick from <BRUTEFORCERS>
    
    #-----------------------
    # In Connections
    #-----------------------
    
    # pass all connections from our lan to server
    pass in on $int_if from $lannet to $int_if keep state
    # pass tcp ports from inet
    pass in proto tcp to $inet_if port $tcp_ports keep state
    # pass for ssh lhc
    pass in proto tcp to $inet_if port $sshlhc $connblk
    # pass udp ports from inet
    pass in proto udp to $inet_if port $udp_ports keep state
    # for ftp
    pass in on $inet_if proto tcp from any to any port > 49151 keep state
    # allow from lannet to extnet
    pass in from $lannet to $extnet keep state
    # allow pings from inet
    pass in on $inet_if inet proto icmp from any to $inet_if icmp-type $icmp_types keep state
    # block smtp connections to inet
    block in quick on $int_if proto tcp from $lannet to ! $int_if port 25
    
    #--------------------------
    # Out Connections
    #--------------------------
    
    #for lan
    pass out from $int_if to $lannet keep state
    #for tenet
    pass out from $ext_if to $extnet keep state
    #for inet
    pass out from $inet_if keep state
    
    #--------------------------
    # Rules for rdr
    #--------------------------
    
    # Allow rpd to 192.168.0.1 ssh
    pass in on $inet_if proto tcp from any to 192.168.0.1 port ssh $connblk
    # For FTP PROXY
    anchor "ftp-proxy/*"
    
    #--------------------------
    # Inet to Users
    #--------------------------
    
    # users1 filters
    pass in on $int_if from 192.168.0.2 to any queue 192.168.0.2_io no state
    pass out on $int_if from any to 192.168.0.2 queue 192.168.0.2_ii no state
    pass in on $int_if from 192.168.0.2 to <uaix> queue 192.168.0.2_uo no state
    pass out on $int_if from <uaix> to 192.168.0.2 queue 192.168.0.2_ui no state

  8. Вверх #8
    Посетитель Аватар для jammin
    Пол
    Мужской
    Возраст
    32
    Сообщений
    431
    Репутация
    53
    А что в логах во время попытки соединения?

  9. Вверх #9
    Посетитель
    Пол
    Мужской
    Адрес
    я не украинец, я ОдЕссит!
    Сообщений
    217
    Репутация
    17
    А ничего, молчит


Ответить в теме

Похожие темы

  1. FTP-client API for *nix
    от krieger в разделе Программирование
    Ответов: 4
    Последнее сообщение: 23.05.2005, 04:26
  2. proxy
    от Anton в разделе Интернет :: технические вопросы
    Ответов: 1
    Последнее сообщение: 01.12.2004, 10:54
  3. Пользователи [email protected] (ТеНет) надо протестировать ftp сервер
    от klon в разделе Интернет :: технические вопросы
    Ответов: 8
    Последнее сообщение: 28.10.2004, 05:10
  4. Ace FTP
    от Sergey_ в разделе Программное обеспечение
    Ответов: 1
    Последнее сообщение: 10.04.2004, 23:32
  5. КУПЛЮ СРОЧНО!!! FTP!!!
    от vdes в разделе Интернет
    Ответов: 1
    Последнее сообщение: 29.02.2004, 22:36

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения