Добрый день!Проблема такая: надо организовать внешний ftp-сервер под FreeBSD, и закрыть его с помощью ipfw.
ОС - FreeBSD 6.2-RELEASE
Сервер - ProFTPD 1.3.0a (stable)
printenv | grep FTP
FTP_PASSIVE_MODE=YESБез ipfw всё работает.
Прописываю правила:
ipfw add pass tcp from any 1024-65535 to me 21,1024-65535
ipfw add pass tcp from any 1024-65535 to me 20,1024-65535 established
ipfw add pass tcp from me 20,1024-65535 to any 1024-65535
ipfw add pass tcp from me 21,1024-65535 to any 1024-65535 establishedПроверяю с разных внешних ip-адресов. Со всех, работает, кроме одного. На нем отваливается по тайм-ауту. При этом на клиенте firewall'а нет и без ipfw он добирается до сервера.
Сделал /sbin/ipfw add 10000 deny log all from any to any
В лог отброшенных пакетов ipfw ничего не сваливается...Судя по /sbin/ipfw show счетчик изменяется только для 1-го и 4-го правила...
>Добрый день!
>
>Проблема такая: надо организовать внешний ftp-сервер под FreeBSD, и закрыть его с
>помощью ipfw.
>ОС - FreeBSD 6.2-RELEASE
>Сервер - ProFTPD 1.3.0a (stable)
>printenv | grep FTP
>FTP_PASSIVE_MODE=YES
>
>Без ipfw всё работает.
>Прописываю правила:
>ipfw add pass tcp from any 1024-65535 to me 21,1024-65535
>ipfw add pass tcp from any 1024-65535 to me 20,1024-65535 established
>ipfw add pass tcp from me 20,1024-65535 to any 1024-65535
>ipfw add pass tcp from me 21,1024-65535 to any 1024-65535 established
>
>Проверяю с разных внешних ip-адресов. Со всех, работает, кроме одного. На нем
>отваливается по тайм-ауту. При этом на клиенте firewall'а нет и без
>ipfw он добирается до сервера.
>
>Сделал /sbin/ipfw add 10000 deny log all from any to any
>В лог отброшенных пакетов ipfw ничего не сваливается...
>
>Судя по /sbin/ipfw show счетчик изменяется только для 1-го и 4-го правила...
>
1. клиент может в неправильном режиме заходит.
2. тспдампом посмотри что происходит.
>1. клиент может в неправильном режиме заходит.
>2. тспдампом посмотри что происходит.С этим, вроде все в порядке...
На клиенте:
printenv | grep FTP
FTP_PASSIVE_MODE=YES
ftp> passive
Passive mode on.
На сервере:
tcpdump -n
09:42:55.684705 IP _клиент_.4874 > _сервер_.21: S 3113206977:3113206977(0) win 65535 <mss 1460>
09:42:55.684780 IP _сервер_.21 > _клиент_.4874: S 468579010:468579010(0) ack 3113206978 win 65535 <mss 1460>
И эти сообщения повторяются, пока клиент не отваливается по тайм-ауту...
>>1. клиент может в неправильном режиме заходит.
>>2. тспдампом посмотри что происходит.
>
>С этим, вроде все в порядке...
>На клиенте:
>printenv | grep FTP
>FTP_PASSIVE_MODE=YES
>ftp> passive
>Passive mode on.
>На сервере:
>tcpdump -n
>09:42:55.684705 IP _клиент_.4874 > _сервер_.21: S 3113206977:3113206977(0) win 65535 <mss 1460>
>09:42:55.684780 IP _сервер_.21 > _клиент_.4874: S 468579010:468579010(0) ack 3113206978 win 65535 <mss 1460>
>И эти сообщения повторяются, пока клиент не отваливается по тайм-ауту...
1.Другой фтп клиент попробуй.
2.Попробуй соединятся и в пасивном и активном режимах.
>1.Другой фтп клиент попробуй.
От клиента точно не зависит... Перебрал несколько под разными ОС, результат один и тот же...
>2.Попробуй соединятся и в пасивном и активном режимах.
Это тоже результата не дает...Видимо, для нормальной работы со всех клиентов, надо разрешить ещё какой-нибудь порт/протокол, но вот какой - я не знаю....