Проблема подключении к определенному ФТП ( грешу на pf)

[sv_igor]

Здраввствуйте

Итак имеем - маршрутизатор на Freebsd 7.1-release. фаервол на PF крутится.
Проблема: Немогу подключиться на определенный фтп - рабочий мой с компа который за маршрутизатором находится(тобишь за натом)

С фряхи коннект без проблем проходит, как в активном так и в пассивном режиме.

С клиентской машины пробую подключиться естественно в пассивном режиме(в активном конечно тоже пробовал
С клиентской машины на все остальные фтп я могу без проблем подключиться, я пробовал на ftp.drweb.com например.

Вот примеры подключений на др вэб

Код:

 ftp ftp.drweb.com
Trying 81.177.37.3...
Connected to ftp.drweb.com (81.177.37.3).
220 Welcome to Dr.Web FTP service.
Name (ftp.drweb.com:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (81,177,37,3,251,106)
150 Here comes the directory listing.
drwxr-xr-x   21 1001     1002         4096 Nov 24 09:27 drweb
226 Directory send OK.
ftp> quit
221 Goodbye.

а вот пример подключения на мой рабочий фтп

Код:

ftp host.com
Connected to host.com (81.25.xx.xx).
220 ProFTPD 1.3.2b Server [192.168.230.1]
Name (host.com:root): anonymous
331 Anonymous login ok, send your complete email address as your password
Password:
230 Anonymous access granted, restrictions apply
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 CWD command successful
ftp> ls
227 Entering Passive Mode (192,168,230,1,230,155).
ftp: connect: В соединении отказано
ftp> quit
221 Goodbye.

Как видим что по папкам я могу ходить на рабочем компе, но вот список файлов получить увы, не могу.
Ненадо говорить, что неправильно настроен сервер на работе, т.к. с других провайдеров люди без проблем на фтп заходят (которые за маршрутизаторами сидят, так и напрямую без них).
И мой айпи там незабанен. На работе фтп собственно сидит за маршрутизатором, на котором PF и freebsd лежат.

Ошибка кроется в сообщении "в соединении отказано".

pftop команда выводит следующее при подключении к дрвэбу в пассиве

Код:

tcp       Out 192.168.100.2:54474                      81.177.37.3:64818                         FIN_WAIT_2:FIN_WAIT_2
tcp       In  192.168.100.2:54474                      81.177.37.3:64818                         FIN_WAIT_2:FIN_WAIT_2
tcp       Out 192.168.100.2:47556                      81.177.37.3:21                           ESTABLISHED:ESTABLISHED
tcp       In  192.168.100.2:47556                      81.177.37.3:21                           ESTABLISHED:ESTABLISHED

как видим - создается 4 стейта, а вот при подключении к работе
пассив

Код:

tcp       Out 192.168.100.2:52885                   81.25.хх.хх:21                     ESTABLISHED:ESTABLISHED
tcp       In  192.168.100.2:52885                   81.25.хх.хх:21                     ESTABLISHED:ESTABLISHED

актив

Код:

tcp       Out 192.168.100.2:52884                   81.25.хх.хх:21                      FIN_WAIT_2:FIN_WAIT_2
tcp       In  192.168.100.2:52884                   81.25.хх.хх:21                      FIN_WAIT_2:FIN_WAIT_2

а в этом случае по 2 стейта в каждом из разных режимов.

Куда собственно рыть надо?
Если нужен будет конфиг pfctl - выложу

Заранее благодарю

[sv_igor]

проблема решена!

[parshivets]

и что было не так?

[vlad11]

Он ipfw поставил

[sv_igor]

Хрен я перейду на ипфв обратно.
Интересно так, что люди заинтересовались как я решил
А решил очень просто - поставил по оф руководству PF - фтп прокси, все как часы заработало! в обоих режимах еще!

[vlad11]

Хрен я перейду на ипфв обратно.
Интересно так, что люди заинтересовались как я решил
А решил очень просто - поставил по оф руководству PF - фтп прокси, все как часы заработало! в обоих режимах еще!

лол.
костыль поставил

[sv_igor]

лол.
костыль поставил

Обоснуйте. Какой еще костыль? Есть другие у Вас варианты как обойти данную проблему? Если нету - нечего слова на ветер кидать!

[vlad11]

Обоснуйте. Какой еще костыль? Есть другие у Вас варианты как обойти данную проблему? Если нету - нечего слова на ветер кидать!

Правильно настройте свой firewall.
ipfw с правильно настроенным пропуском пакетов установленных соединений решит проблему.
Еще раз внимательно посмотрите логику работы ftp и pf.
Костыли в виде прокси решат часть проблем, но добавят других.

[sv_igor]

Фаервол правильно настроен. Зачем, тогда в официальном руководстве писать про фтппрокси? Логика работы в обоих режимах мне понятна, но другого варианта нет заставить запустить оба режима....работает тока пассивный, без фтп прокси. да и тут свой нат(в pf)

[maxx™]

Фаервол правильно настроен. Зачем, тогда в официальном руководстве писать про фтппрокси? Логика работы в обоих режимах мне понятна, но другого варианта нет заставить запустить оба режима....работает тока пассивный, без фтп прокси. да и тут свой нат(в pf)

Смотрим сюда http://ru.wikipedia.org/wiki/FTP, а потом на Ваши логи.

Connected to host.com (81.25.xx.xx).
220 ProFTPD 1.3.2b Server [192.168.230.1]
...
227 Entering Passive Mode (192,168,230,1,230,155).

Клиент должен открыть соединение на переданый IP. Какого сервер отдает 192,168,230,1 если подключались вы к 81.25.xx.xx?

PS И посмотрите на лог подключения к drweb. Там все правильно, у вас где-то (на сервере, на роутере) что-то не правильно настроено.

А для того чтобы заработал активный режим смотрите в cторону UPNP. Для фряхи вроде как есть, но я на фряхе нкогда не юзал.

[vlad11]

Фаервол правильно настроен. Зачем, тогда в официальном руководстве писать про фтппрокси? Логика работы в обоих режимах мне понятна, но другого варианта нет заставить запустить оба режима....работает тока пассивный, без фтп прокси. да и тут свой нат(в pf)

Если не работает опция, то почему настройки правильны?

man pf.conf(5)

If the pass modifier is given, packets matching the translation rule are
passed without inspecting the filter rules:
rdr pass on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 \
port 8080

И это не забудь:

pass in on $ext_if proto tcp from any to any port 21 keep state
pass in on $ext_if proto tcp from any to any port > 49151 keep state

[sv_igor]

rdr pass on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 \
port 8080

хехе, а Вы что не видите что здесь явный редирект идет на локальный комп? и явный прокси...либо расскажите что лежит на 8080 порту?)))
Да и при чем тут кстати 80 порт?
Кстати таким же почти редиректом работает и фтп прокси
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 \
port 8021

Узнали Ваш пост?

pass in on $ext_if proto tcp from any to any port 21 keep state
pass in on $ext_if proto tcp from any to any port > 49151 keep state

ну а это есть в мануале официальном по pf - Вы его небось читали? эти правила для того чтобы мой сервак, у которого внешний ип(переменная $ext_if на это указывает) разрешал пассивные фтп соединения на него
в разделе PF "Self-Protecting" an FTP Server указано!

2maxx: я извиняюсь забыл сказать - что на том фтп (тот что 81.25.х.х) таки да лажа ....
но щас решаю проблему с тем что pf для клиентов которые за натом - у которых установлен активный фтп режим - ну ни в какую не хочет подключаться без использования ftpproxy_enable="YES"
ну и соотвествующих правил

Вот что пишет когда на другие фтп подключаюсь в активном режиме за натом

Код:

# ftp
ftp> passive
Passive mode off.
ftp> open ftp.drweb.com
Trying 210.233.71.100...
Connected to ftp.drweb.com (210.233.71.100).
220 Welcome to Dr.Web FTP service.
Name (ftp.drweb.com:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
500 Illegal PORT command.
ftp: bind: Адрес уже используется
ftp>