Здравствуйте!
Такой вопрос. Если я делаю прозрачный ftp прокси и клиент пытается приконнектиться к ftp в пассивном режиме то какие мне порты надо redirect и какие порты надо открыть для самого frox.И ещё один маленький вопрос. Настройку делал примерно как в статье http://www.opennet.me/base/net/transparent_ftp.txt.html . frox хранит файлы в открытом виде или как squid? Т.е. если я скачал файл vasya.exe он прямо так и должен находиться где то или нет?
>Здравствуйте!
>Такой вопрос. Если я делаю прозрачный ftp прокси и клиент пытается приконнектиться
>к ftp в пассивном режиме то какие мне порты надо redirect
>и какие порты надо открыть для самого frox.
>
>И ещё один маленький вопрос. Настройку делал примерно как в статье http://www.opennet.me/base/net/transparent_ftp.txt.html
>. frox хранит файлы в открытом виде или как squid? Т.е.
>если я скачал файл vasya.exe он прямо так и должен находиться
>где то или нет?мда ...
блин непонятно что - то или не знает никто
хоть что нить ответьте pls
>Здравствуйте!
>Такой вопрос. Если я делаю прозрачный ftp прокси и клиент пытается приконнектиться
>к ftp в пассивном режиме то какие мне порты надо redirect
21-ый на порт frox-a
>и какие порты надо открыть для самого frox.
Какая ОС: linux или BSD? Если iptables, я подскажу, с остальным, увы, не знаком.
>
>И ещё один маленький вопрос. Настройку делал примерно как в статье http://www.opennet.me/base/net/transparent_ftp.txt.html
>. frox хранит файлы в открытом виде или как squid? Т.е.
>если я скачал файл vasya.exe он прямо так и должен находиться
>где то или нет?
Да, в WorkingDir, если CacheModule local. Или их будет хранить squid, если CacheModule http.Объяснения к параметрам в самом frox.conf читал?
>21-ый на порт frox-a
это понятно. Имеется в виду для самого froxa, т.е. сервак>Какая ОС: linux или BSD? Если iptables, я подскажу, с остальным, увы,
>не знаком.
MandrakeLinux
>Да, в WorkingDir, если CacheModule local. Или их будет хранить squid, если
> CacheModule http.
спасибо, понял
>Объяснения к параметрам в самом frox.conf читал?
читалКак бы проблема такая с iptables такая.
Я делаю iptables - A -t nat PREROUTING -s 192.168.3.0/24 --dp 21 -j REDIRECT --to-port 2121а для того чтобы сам frox ходил на ftp надо сделать открыть получается все порты больше 1024 так получается для passive mode?
>а для того чтобы сам frox ходил на ftp надо сделать открыть
>получается все порты больше 1024 так получается для passive mode?
Раньше да. Но с 2.4 ядра в iptables есть state соединения, которое сильно упрощает настройку и гораздо лучше и правильнее в плане безопастности. Есть очень хорошая статья Олафа Андресона в переводе Андрея Киселева.Я делаю приблизительно так:
/sbin/modprobe ip_conntrack_ftp ports=21,2121
/sbin/modprobe ip_nat_ftp ports=21,2121IPT=путь к iptables
# Create chain for established or relared connection
$IPT -N established
$IPT -A established -m state --state ESTABLISHED,RELATED -j ACCEPT$IPT -P INPUT DROP
$IPT -A INPUT -j established
... добавь свои правила
$IPT -P OUTPUT ACCEPTКомп с такими правилами работает так: сам может обращаться по любым портам куда угодно и пинговать в том числе, обратные пакеты на созданные им соединения принимаются. Извне его не видит никто и не пингует. Для рабочей станции это, в принципе, весь фаервол. Для сервера нужно разрешить обращения к нему и локальной сети.
Скинь пожайлуста ссылочку на статейку. Или на mail зашли pls.
>Скинь пожайлуста ссылочку на статейку. Или на mail зашли pls.
Всё спасибо уже нашёл!
>>Скинь пожайлуста ссылочку на статейку. Или на mail зашли pls.
>Всё спасибо уже нашёл!
Вот теперь новая проблема появилась. короче запускаю frox в прозрачном режиме, пользователь коннектиться, делает свои дела, потом дисконектиться и frox тоже закрывается.
Вот конфиг:
Listen 192.168.3.0
Port 2121
User nobody
Group nogroup
WorkingDir /home/frox
DontChroot Yes
LogLevel 25
LogFile /etc/frox-log
PidFile /var/run/frox.pid
APConv yes
CacheModule local
CacheSize 99999
MinCacheSize 1
MaxForks 0
MaxForksPerHost 0
ACL Allow * - *Вот что в его логе:
Tue Nov 1 01:13:59 2005 frox[22974] Dropped privileges
Tue Nov 1 01:13:59 2005 frox[22943] Cachemgr socket file == /home/frox/cache//frox-cache
Tue Nov 1 01:13:59 2005 frox[22974] Partial file /home/frox/cache/00/4359e1c4000 (1779480/5925259)
Tue Nov 1 01:13:59 2005 frox[22974] Partial file /home/frox/cache/00/4360b288000 (100608/546739)
Tue Nov 1 01:14:00 2005 frox[22943] Listening on 192.168.3.0:2121
Tue Nov 1 01:14:00 2005 frox[22943] Dropped privileges
Tue Nov 1 01:14:02 2005 frox[23109] Dropped privileges
Tue Nov 1 01:14:02 2005 frox[23109] Partial file /home/frox/cache/00/4359e1c4000 (1779480/5925259)
Tue Nov 1 01:14:02 2005 frox[23109] Partial file /home/frox/cache/00/4360b288000 (100608/546739)
Tue Nov 1 01:14:02 2005 frox[23108] Cachemgr socket file == /home/frox/cache//frox-cache
Tue Nov 1 01:14:02 2005 frox[23108] Listening on 192.168.3.0:2121
Tue Nov 1 01:14:02 2005 frox[23108] Dropped privileges
Tue Nov 1 01:14:15 2005 frox[23108] Connect from 192.168.3.1
Tue Nov 1 01:14:15 2005 frox[23108] ... to 195.158.1.45()
Tue Nov 1 01:14:15 2005 frox[23108] Connecting to server...
Tue Nov 1 01:14:15 2005 frox[23108] OK
Tue Nov 1 01:14:15 2005 frox[23108] Apparent address = 195.158.1.45(ftp.vasya.ru)
Tue Nov 1 01:14:15 2005 frox[23108] Real address = 195.158.1.45(ftp.vasya.ru)
Tue Nov 1 01:14:15 2005 frox[23108] Proxy address = 195.158.1.45(ftp.vasya.ru)
Tue Nov 1 01:14:15 2005 frox[23108] S: 220 ftp.vasya.ru FTP server ready.
Tue Nov 1 01:14:15 2005 frox[23108] C: USER anonymous
Tue Nov 1 01:14:15 2005 frox[23108] S: 331 Anonymous login ok, send your complete email address as your password.
Tue Nov 1 01:14:15 2005 frox[23108] C: PASS anonymouys@vasya.ru
Tue Nov 1 01:14:15 2005 frox[23108] S: 230 Anonymous access granted, restrictions apply.
Tue Nov 1 01:14:15 2005 frox[23108] C: SYST
Tue Nov 1 01:14:15 2005 frox[23108] S: 215 UNIX Type: L8
Tue Nov 1 01:14:15 2005 frox[23108] Command FEAT not implemented
Tue Nov 1 01:14:15 2005 frox[23108] S: 502 Command not implemented.
Tue Nov 1 01:14:15 2005 frox[23108] C: CWD /Antivirus/AVP/updates/
Tue Nov 1 01:14:15 2005 frox[23108] S: 250 CWD command successful.
Tue Nov 1 01:14:15 2005 frox[23108] Strictpath = "/Antivirus/AVP/updates//"
Tue Nov 1 01:14:15 2005 frox[23108] C: PWD
Tue Nov 1 01:14:15 2005 frox[23108] S: 257 "/Antivirus/AVP/updates" is current directory.
Tue Nov 1 01:14:15 2005 frox[23108] C: TYPE A
Tue Nov 1 01:14:15 2005 frox[23108] S: 200 Type set to A.
Tue Nov 1 01:14:15 2005 frox[23108] Rewriting PORT command to PASV
Tue Nov 1 01:14:15 2005 frox[23108] C: PASV
Tue Nov 1 01:14:15 2005 frox[23108] Rewriting 227 reply.
Tue Nov 1 01:14:15 2005 frox[23108] S: 200 PORT command OK.
Tue Nov 1 01:14:15 2005 frox[23108] Connecting to both data streams for LIST command
Tue Nov 1 01:14:15 2005 frox[23108] C: LIST
Tue Nov 1 01:14:15 2005 frox[23108] S: 150 Opening ASCII mode data connection for file list
Tue Nov 1 01:14:15 2005 frox[23108] S: 226-Transfer complete.
Tue Nov 1 01:14:15 2005 frox[23108] S: 226 Quotas off
Tue Nov 1 01:14:15 2005 frox[23108] Closing server data connection
Tue Nov 1 01:14:15 2005 frox[23108] Closing client data connection
Tue Nov 1 01:14:19 2005 frox[23108] C: QUIT
Tue Nov 1 01:14:19 2005 frox[23108] S: 221 Goodbye.
Tue Nov 1 01:14:19 2005 frox[23108] Server closed the control connection
Tue Nov 1 01:14:19 2005 frox[23108] Closing session
Блин ну неужели никто не пользуется ftp проксями прозрачными?
>коннектиться, делает свои дела, потом дисконектиться и frox тоже закрывается.> LogFile /etc/frox-log
Оригинальное место для ведения логов ;-)>MaxForks 0
Из дефолтного конфига!
# MaxForks 0 # For debugging -- only one connection may be served.