Всем привет.
Есть машина под FreeBSD, ядро собрано с IPFW и правилом deny. Крутится proftpd.
При подключении что в active что в passive mode к ftp, виснем на команде list
Правила для ipfw такие:ipfw="/sbin/ipfw"
extif1="xl0"
rfc_nets="192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8, 0.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 204.152.64.0/23, 224.0.0.0/3"
in_tcp_ports="20,21"${ipfw} -f flush
${ipfw} add allow all from any to any via lo0
${ipfw} add deny log logamount 1000 all from ${rfc_nets} to any via ${extif1}
${ipfw} add deny log logamount 1000 all from any to ${rfc_nets} via ${extif1}#Pass all outgoing traffic
${ipfw} add allow all from me to any keep-state out via ${extif1}#Pass incoming traffic on extif for daemons
${ipfw} add allow icmp from any to me in via ${extif1} icmptypes 8
${ipfw} add allow tcp from any to me ${in_tcp_ports} keep-state in via ${extif1}
${ipfw} add allow udp from any to me ${in_udp_ports} keep-state in via ${extif1}${ipfw} add 65534 deny log logamount 50000 all from any to any
лог proftpd:
mail1.devoffice.com UNKNOWN nobody [11/Jul/2006:10:58:20 +0300] "USER monophonic" 331 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:20 +0300] "PASS (hidden)" 230 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "SYST" 215 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "FEAT" 211 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "PWD" 257 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "TYPE A" 200 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "PASV" 227 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:43 +0300] "PORT 217,77,211,246,6,206" 200 -
mail1.devoffice.com UNKNOWN nobody [11/Jul/2006:10:58:54 +0300] "USER monophonic" 331 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "PASS (hidden)" 230 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "SYST" 215 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "FEAT" 211 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "PWD" 257 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "TYPE A" 200 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "PORT 217,77,211,246,6,211" 200 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:59:58 +0300] "LIST" 425 0
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:11:00:11 +0300] "LIST" 425 0
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:11:00:18 +0300] "QUIT" 221 -
Хм... писал-писал, оказалось что не заметил одного правила, в общем активный режим при таких правилах работать должен, а вот здесь
in_tcp_ports="20,21"
20-й порт лишний...
В общем, поснифьте, поглядите что куда ходит, а также смотрите что у вас в /var/log/security.
Да вот еще, в приведенном Вами логе, я правильно понял что и сервер и клиент ФТП были запущены на одной машине?
>Хм... писал-писал, оказалось что не заметил одного правила, в общем активный режим
>при таких правилах работать должен, а вот здесь
>in_tcp_ports="20,21"
>20-й порт лишний...
>В общем, поснифьте, поглядите что куда ходит, а также смотрите что у
>вас в /var/log/security.
>Да вот еще, в приведенном Вами логе, я правильно понял что и
>сервер и клиент ФТП были запущены на одной машине?Да, в активном работает как оказалось.
20-ый порт закрыл, действительно лишний (мне RFC читать надо бы сперва :)
А для пассивного режима сделал проще (хотя может и коряво с точки зрения безопасности):
Указал proftpd использовать для passive mode порты с 35000 по 35100 и открыл их в ipfw
Ну в общем-то мне кажется это единственное решение которое можно придумать на базе IPFW ;-)
ЗЫ эх ну когда же во фрюшке появится хоть что-то удаленно напоминающее iptables с его conntrack'ами :-(
>Ну в общем-то мне кажется это единственное решение которое можно придумать на
>базе IPFW ;-)
>ЗЫ эх ну когда же во фрюшке появится хоть что-то удаленно напоминающее
>iptables с его conntrack'ами :-(
эээээ так ведь PF есть :)