URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80508
[ Назад ]

Исходное сообщение
"ftpd + ipfw + natd"
Отправлено GHopper , 29-Май-08 06:27

Здравствуйте!
FreeBSD7.0 + ftpd + natd - роутер.
Клиенты хотят интернет, а мне нужен пассивный ftp-сервер.
# ipfw show
...
0150   17188   1352366 allow tcp from any to me dst-port 21,22,80,443,3306 via ng0
...
00300  722115  50841648 divert 8668 ip from any to me in via ng0
00310  679297  81649704 divert 8668 ip from 192.168.1.0/24 to any out via ng0
00340     397     33987 divert 8669 ip from any to me in via ng1
00350       0         0 divert 8669 ip from 192.168.1.0/24 to any out via ng1
...
При таком раскладе люди пользуют интернет и все в порядке, но нету ftp-сервера.
Если добавить правило
ipfw add 160 allow ip from any to me 49152-65535 via ng0
появляется ftp-сервер, но пакеты перестают попадать в natd, т.к. броузеры пользователей открывают соединения на порты из диапазона 49152-65535.
Какой компромис можно найти в данной ситуации?

Содержание

ftpd + ipfw + natd,Proximo, 11:28 , 29-Май-08
- ftpd + ipfw + natd,GHopper, 11:48 , 29-Май-08
  - ftpd + ipfw + natd,Proximo, 14:55 , 29-Май-08
    - ftpd + ipfw + natd,GHopper, 19:24 , 29-Май-08
ftpd + ipfw + natd,Pahanivo, 08:53 , 30-Май-08
- ftpd + ipfw + natd,GHopper, 09:12 , 30-Май-08

Сообщения в этом обсуждении

"ftpd + ipfw + natd"
Отправлено Proximo , 29-Май-08 11:28

> броузеры пользователей открывают соединения на порты из диапазона 49152-65535.
это как? ну да ладно, я может чего-то не понимаю
имхо к правилу 150 нужно прописать еще и обратное c from me to any
по-идее ftp должен работать в пассивном режиме

"ftpd + ipfw + natd"
Отправлено GHopper , 29-Май-08 11:48

>> броузеры пользователей открывают соединения на порты из диапазона 49152-65535.
>
>это как? ну да ладно, я может чего-то не понимаю
>
>имхо к правилу 150 нужно прописать еще и обратное c from me
>to any
>по-идее ftp должен работать в пассивном режиме
00600 1872178 206970924 allow ip from me to any
не работаить ((

"ftpd + ipfw + natd"
Отправлено Proximo , 29-Май-08 14:55

>00600 1872178 206970924 allow ip from me to any
>
>не работаить ((
ун а порты-то тут какие стоят?
нужно типа
allow ip from me to any dst-port 21,22,80,443,3306 via ng0

"ftpd + ipfw + natd"
Отправлено GHopper , 29-Май-08 19:24

>
>>00600 1872178 206970924 allow ip from me to any
>>
>>не работаить ((
>
>ун а порты-то тут какие стоят?
>
>нужно типа
>allow ip from me to any dst-port 21,22,80,443,3306 via ng0
а зачем мне это???
Мне нужно, чтобы запросы из сети проходили обратно в сеть, а не принимались на шлюзе

"ftpd + ipfw + natd"
Отправлено Pahanivo , 30-Май-08 08:53

Тыб хоть свою схему описал а то непонятно каким боком тута ng*

"ftpd + ipfw + natd"
Отправлено GHopper , 30-Май-08 09:12

>Тыб хоть свою схему описал а то непонятно каким боком тута ng*
>
разобрался с проблемой. Надо принимать пакеты после диверта:
00360 8 432 allow tcp from any to me dst-port 49152-65535 via ng0
спасибо за отклики