URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3190
[ Назад ]

Исходное сообщение
"IPFW+FTP"
Отправлено a_kabanov , 05-Мрт-07 17:56

Добрый день!
Проблема такая: надо организовать внешний ftp-сервер под FreeBSD, и закрыть его с помощью ipfw.
ОС - FreeBSD 6.2-RELEASE
Сервер - ProFTPD 1.3.0a (stable)
printenv | grep FTP
FTP_PASSIVE_MODE=YES
Без ipfw всё работает.
Прописываю правила:
ipfw add pass tcp from any 1024-65535 to me 21,1024-65535
ipfw add pass tcp from any 1024-65535 to me 20,1024-65535 established
ipfw add pass tcp from me 20,1024-65535 to any 1024-65535
ipfw add pass tcp from me 21,1024-65535 to any 1024-65535 established
Проверяю с разных внешних ip-адресов. Со всех, работает, кроме одного. На нем отваливается по тайм-ауту. При этом на клиенте firewall'а нет и без ipfw он добирается до сервера.
Сделал /sbin/ipfw add 10000 deny log all from any to any
В лог отброшенных пакетов ipfw ничего не сваливается...
Судя по /sbin/ipfw show счетчик изменяется только для 1-го и 4-го правила...

Содержание

IPFW+FTP,link_r, 22:48 , 06-Мрт-07
- IPFW+FTP,a_kabanov, 09:42 , 07-Мрт-07
  - IPFW+FTP,link_r, 16:32 , 07-Мрт-07
    - IPFW+FTP,a_kabanov, 09:48 , 12-Мрт-07

Сообщения в этом обсуждении

"IPFW+FTP"
Отправлено link_r , 06-Мрт-07 22:48

>Добрый день!
>
>Проблема такая: надо организовать внешний ftp-сервер под FreeBSD, и закрыть его с
>помощью ipfw.
>ОС - FreeBSD 6.2-RELEASE
>Сервер - ProFTPD 1.3.0a (stable)
>printenv | grep FTP
>FTP_PASSIVE_MODE=YES
>
>Без ipfw всё работает.
>Прописываю правила:
>ipfw add pass tcp from any 1024-65535 to me 21,1024-65535
>ipfw add pass tcp from any 1024-65535 to me 20,1024-65535 established
>ipfw add pass tcp from me 20,1024-65535 to any 1024-65535
>ipfw add pass tcp from me 21,1024-65535 to any 1024-65535 established
>
>Проверяю с разных внешних ip-адресов. Со всех, работает, кроме одного. На нем
>отваливается по тайм-ауту. При этом на клиенте firewall'а нет и без
>ipfw он добирается до сервера.
>
>Сделал /sbin/ipfw add 10000 deny log all from any to any
>В лог отброшенных пакетов ipfw ничего не сваливается...
>
>Судя по /sbin/ipfw show счетчик изменяется только для 1-го и 4-го правила...
>
1. клиент может в неправильном режиме заходит.
2. тспдампом посмотри что происходит.

"IPFW+FTP"
Отправлено a_kabanov , 07-Мрт-07 09:42

>1. клиент может в неправильном режиме заходит.
>2. тспдампом посмотри что происходит.
С этим, вроде все в порядке...
На клиенте:
printenv | grep FTP
FTP_PASSIVE_MODE=YES
ftp> passive
Passive mode on.
На сервере:
tcpdump -n
09:42:55.684705 IP _клиент_.4874 > _сервер_.21: S 3113206977:3113206977(0) win 65535 <mss 1460>
09:42:55.684780 IP _сервер_.21 > _клиент_.4874: S 468579010:468579010(0) ack 3113206978 win 65535 <mss 1460>
И эти сообщения повторяются, пока клиент не отваливается по тайм-ауту...

"IPFW+FTP"
Отправлено link_r , 07-Мрт-07 16:32

>>1. клиент может в неправильном режиме заходит.
>>2. тспдампом посмотри что происходит.
>
>С этим, вроде все в порядке...
>На клиенте:
>printenv | grep FTP
>FTP_PASSIVE_MODE=YES
>ftp> passive
>Passive mode on.
>На сервере:
>tcpdump -n
>09:42:55.684705 IP _клиент_.4874 > _сервер_.21: S 3113206977:3113206977(0) win 65535 <mss 1460>
>09:42:55.684780 IP _сервер_.21 > _клиент_.4874: S 468579010:468579010(0) ack 3113206978 win 65535 <mss 1460>
>И эти сообщения повторяются, пока клиент не отваливается по тайм-ауту...
1.Другой фтп клиент попробуй.
2.Попробуй соединятся и в пасивном и активном режимах.

"IPFW+FTP"
Отправлено a_kabanov , 12-Мрт-07 09:48

>1.Другой фтп клиент попробуй.
От клиента точно не зависит... Перебрал несколько под разными ОС, результат один и тот же...
>2.Попробуй соединятся и в пасивном и активном режимах.
Это тоже результата не дает...
Видимо, для нормальной работы со всех клиентов, надо разрешить ещё какой-нибудь порт/протокол, но вот какой - я не знаю....