https://www.opennet.ru/openforum/vsluhforumID1/80508.html Здравствуйте!<br><br>FreeBSD7.0 + ftpd + natd - роутер.<br><br>Клиенты хотят интернет, а мне нужен пассивный ftp-сервер.<br><br># ipfw show<br>...<br>0150 17188 1352366 allow tcp from any to me dst-port 21,22,80,443,3306 via ng0<br>...<br>00300 722115 50841648 divert 8668 ip from any to me in via ng0<br>00310 679297 81649704 divert 8668 ip from 192.168.1.0/24 to any out via ng0<br>00340 397 33987 divert 8669 ip from any to me in via ng1<br>00350 0 0 divert 8669 ip from 192.168.1.0/24 to any out via ng1<br>...<br><br>При таком раскладе люди пользуют интернет и все в порядке, но нету ftp-сервера.<br>Если добавить правило <br>ipfw add 160 allow ip from any to me 49152-65535 via ng0<br>появляется ftp-сервер, но пакеты перестают попадать в natd, т.к. броузеры пользователей открывают соединения на порты из диапазона 49152-65535.<br><br>Какой компромис можно найти в данной ситуации?<br> https://www.opennet.ru/openforum/vsluhforumID1/80508.html#6 Fri, 30 May 2008 05:12:04 GMT &gt;Тыб хоть свою схему описал а то непонятно каким боком тута ng* <br>&gt;<br><br>разобрался с проблемой. Надо принимать пакеты после диверта:<br><br>00360 8 432 allow tcp from any to me dst-port 49152-65535 via ng0<br><br>спасибо за отклики<br> https://www.opennet.ru/openforum/vsluhforumID1/80508.html#5 Fri, 30 May 2008 04:53:22 GMT Тыб хоть свою схему описал а то непонятно каким боком тута ng*<br><br> https://www.opennet.ru/openforum/vsluhforumID1/80508.html#4 Thu, 29 May 2008 15:24:58 GMT &gt;<br>&gt;&gt;00600 1872178 206970924 allow ip from me to any <br>&gt;&gt;<br>&gt;&gt;не работаить (( <br>&gt;<br>&gt;ун а порты-то тут какие стоят? <br>&gt;<br>&gt;нужно типа <br>&gt;allow ip from me to any dst-port 21,22,80,443,3306 via ng0 <br><br>а зачем мне это???<br><br>Мне нужно, чтобы запросы из сети проходили обратно в сеть, а не принимались на шлюзе<br> https://www.opennet.ru/openforum/vsluhforumID1/80508.html#3 Thu, 29 May 2008 10:55:13 GMT <br>&gt;00600 1872178 206970924 allow ip from me to any <br>&gt;<br>&gt;не работаить (( <br><br>ун а порты-то тут какие стоят?<br><br>нужно типа<br>allow ip from me to any dst-port 21,22,80,443,3306 via ng0<br><br> https://www.opennet.ru/openforum/vsluhforumID1/80508.html#2 Thu, 29 May 2008 07:48:12 GMT &gt;&gt; броузеры пользователей открывают соединения на порты из диапазона 49152-65535. <br>&gt;<br>&gt;это как? ну да ладно, я может чего-то не понимаю <br>&gt;<br>&gt;имхо к правилу 150 нужно прописать еще и обратное c from me <br>&gt;to any <br>&gt;по-идее ftp должен работать в пассивном режиме <br><br>00600 1872178 206970924 allow ip from me to any<br><br>не работаить ((<br> https://www.opennet.ru/openforum/vsluhforumID1/80508.html#1 Thu, 29 May 2008 07:28:03 GMT &gt; броузеры пользователей открывают соединения на порты из диапазона 49152-65535. <br><br>это как? ну да ладно, я может чего-то не понимаю<br><br>имхо к правилу 150 нужно прописать еще и обратное c from me to any<br>по-идее ftp должен работать в пассивном режиме<br><br>