URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1303
[ Назад ]

Исходное сообщение
"ipfw не пускает ftp"

Отправлено Diozan , 21-Апр-04 15:24 
На компьютере (FreeBSD 5.1) 2 карточки

rl0 172.16.75.54/255.255.255.0 - смотрит в локальную сеть
ipln0 172.16.49.63/255.255.255.0 - смотрит в Интернет

Включен nat и ipfw (rc.conf привожу ниже)

gateway_enable="YES"
tcp_extension="NO"
tcp_drop_synfin="YES"
firewall_enable="YES"
firewall_type="open"
natd_enable="YES"
natd_interface="ipln0"
natd_flags=""
defaultrouter="172.16.49.51"

Ядро компилировалось с такими опциями:

options         IPFIREWALL
options         IPDIVERT
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         TCP_DROP_SYNFIN

В локалке нужно одной машине с IP 172.16.75.53 дать выход в интернет для работы по HTTP, FTP, POP3, SMTP, ICQ.

Использую такой скрипт для переопределения правил ipfw.

#!/bin/sh

#сброс всех правил
ipfw -q flush

#natd
ipfw add divert 8668 ip from any to any via ipln0

#dns
ipfw add allow udp from any to any 53
ipfw add allow udp from any 53 to any

#http
ipfw add allow ip from any 80 to 172.16.49.63
ipfw add allow ip from any 80 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 80
ipfw add allow ip from 172.16.75.53 to any 80

#icq
ipfw add allow ip from any 5190 to 172.16.49.63
ipfw add allow ip from any 5190 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 5190
ipfw add allow ip from 172.16.75.53 to any 5190

#smtp
ipfw add allow ip from any 25 to 172.16.49.63
ipfw add allow ip from any 25 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 25
ipfw add allow ip from 172.16.75.53 to any 25

#pop3
ipfw add allow ip from any 110 to 172.16.49.63
ipfw add allow ip from any 110 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 110
ipfw add allow ip from 172.16.75.53 to any 110

#ftp
ipfw add allow ip from 172.16.75.53 to any 20,21
ipfw add allow ip from 172.16.49.63 to any 20,21
ipfw add allow ip from any 20,21 to 172.16.75.53
ipfw add allow ip from any 20,21 to 172.16.49.63

Все работает кроме FTP.
Нашел здесь на форуме совет, добавить правило
ipfw add allow ip from me 1024-65535 to any
Но и с ним не работает.
Что надо поправить, что бы можно было работать по FTP?


Содержание

Сообщения в этом обсуждении
"ipfw не пускает ftp"
Отправлено virus_net , 21-Апр-04 17:18 
>#ftp
>ipfw add allow ip from 172.16.75.53 to any 20,21
>ipfw add allow ip from 172.16.49.63 to any 20,21
>ipfw add allow ip from any 20,21 to 172.16.75.53
>ipfw add allow ip from any 20,21 to 172.16.49.63
>
>Все работает кроме FTP.
>Нашел здесь на форуме совет, добавить правило
>ipfw add allow ip from me 1024-65535 to any
>Но и с ним не работает.
>Что надо поправить, что бы можно было работать по FTP?

а ты попробуй вот так:
ipfw add 1000 allow tcp from 172.16.75.53 to any 20,21
ipfw add 1010 allow udp from 172.16.75.53 to any 20,21
ipfw add 1020 allow tcp from any 20,21 to 172.16.75.53  
ipfw add 1030 allow udp from any 20,21 to 172.16.75.53


"ipfw не пускает ftp"
Отправлено jonik , 21-Апр-04 17:30 
разреши не от себя из 1024-65535 а к себе в !!!

рекомендую посмотреть секцию stateful firewall в man ipfw

тогда у тебя правил будет в 20 раз меньше и єффективнее на порядок