https://www.opennet.ru/openforum/vsluhforumID1/82703.html Есть внутренняя сеть на xl0 - 172.19.14.0/24<br>Есть интернет на rl0 - 77.41.90.28<br><br>ipfw + natd - стандартная настройка - блокируем всё из вне, разрешаем всё наружу<br><br>Всё работает кроме активного FTP из 172.19.14.0/24 наружу в интернет<br>Пассивный работает<br>Нужно чтобы работал активный<br><br>3 часа гугла и яндекса - ничего не дали (сплошное сборище пи....сов)<br><br>Помогите добрые люди<br><br>P.S. Это решение не работает (первая ссылка в гугле):<br>http://www.opennet.ru/tips/info/721.shtml<br> https://www.opennet.ru/openforum/vsluhforumID1/82703.html#23 Mon, 10 Nov 2008 09:28:23 GMT &gt;Простите, Вы про какие пакеты говорите? Про "заначеные" (прошедшие NAT из локальной <br>&gt;сети) или "разначеные" (идушие из внешней сети в локальную)? <br>&gt;<br>&gt;Если про "заначеные", то у них адрес назначения не меняется. <br>&gt;Если про "разначеные", то это обратные пакеты, и вообще говоря, мы их <br>&gt;ожидаем. <br><br>Ожидаем мы их или нет - фильтровать можно на любой стадии ...<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/82703.html#22 Mon, 10 Nov 2008 07:19:46 GMT &gt;&gt;Я могу и быть не прав, но считаю, что если пакет достиг <br>&gt;&gt;правила divert, то все фильтрующие правила с исходным ip он прошел. <br>&gt;&gt;А делать STATEFUL FIREWALL для приватных адресов бессмысленно. <br>&gt;<br>&gt;ммм невсегда .. пройдя нат у пакета сменится дестанейшн - фильтровать можно <br>&gt;и дальше. <br><br>Простите, Вы про какие пакеты говорите? Про "заначеные" (прошедшие NAT из локальной сети) или "разначеные" (идушие из внешней сети в локальную)?<br><br>Если про "заначеные", то у них адрес назначения не меняется.<br>Если про "разначеные", то это обратные пакеты, и вообще говоря, мы их ожидаем. <br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/82703.html#21 Sat, 08 Nov 2008 19:06:57 GMT &gt;Я могу и быть не прав, но считаю, что если пакет достиг <br>&gt;правила divert, то все фильтрующие правила с исходным ip он прошел. <br>&gt;А делать STATEFUL FIREWALL для приватных адресов бессмысленно. <br><br>ммм невсегда .. пройдя нат у пакета сменится дестанейшн - фильтровать можно и дальше.<br>спасибо за то что так глубоко капнул про нат выше )<br><br> https://www.opennet.ru/openforum/vsluhforumID1/82703.html#19 Fri, 07 Nov 2008 18:52:55 GMT &gt;&gt;man ftp-proxy <br>&gt;<br>&gt;нахер вообще проксировать в этом случае ftp - что такое прокси я <br>&gt;знаю ) <br><br>В мане все написано...<br><br>&gt;&gt;Вот именно что natd позволяет работать через себя ftp в активном режиме. <br>&gt;&gt;Без всяких дополнительных настроек. <br>&gt;<br>&gt;а я о чем? дак о томже ) <br><br>Если Вы согласны с моим утверждением здесь<br><br>&gt;сомневаюсь что natd без опции panch вообще прочухаеть про активный ftp ... <br><br>То что это за высказывание?<br><br>Выше я привел довольно развернуто как работает активный ftp через natd со ссылками на соответствующие маны и исходники.<br><br>&gt;это обычные правила ната - частный случай для ftp - ничего более <br><br>Нет, это правила _только_ для работы ftp в активном режиме. Даже пассивный через такие правила работать не будет, т.к. клиент не сможет установить соединение на сервер. В общем приведеные мною правила естественно являются частным случаем использования natd.<br><br>&gt;<br>&gt;если есть хоть одно правило запрещающее in via setup (а в нормальном <br>&gt;фареволе они есть), <br>&gt;то толку в них не будет <br><br>Я могу и быть https://www.opennet.ru/openforum/vsluhforumID1/82703.html#18 Fri, 07 Nov 2008 14:42:35 GMT &gt;&gt;1) ты походу ваааще нихрена не понимаешь - какая связь keep state <br>&gt;&gt;с активным прокси вообще??? <br>&gt;<br>&gt;А такая, уважаемый, что все примеры, на которые даны ссылки используют keep <br>&gt;state правила. Если не знаете что такое keep state читайте документацию. <br>&gt;Ну а уж что значит "активный прокси" - это видимо только <br>&gt;Вам известно. Не дадите ссылочку почитать? <br><br>опечатка - читать "активный ftp" вмето "активный прокси" )<br>&gt;<br>&gt;&gt;2) на НАТ активный ftp не работает по определению (учи матчасть), в <br>&gt;&gt;natd реализован хитрый обход этого дела. <br>&gt;<br>&gt;Вот именно что natd позволяет работать через себя ftp в активном режиме. <br>&gt;Без всяких дополнительных настроек. <br><br>а я о чем? дак о томже )<br>&gt;<br>&gt;&gt;3) какой нахер proxy? че за каша в голове? <br>&gt;<br>&gt;man ftp-proxy <br><br>нахер вообще проксировать в этом случае ftp - что такое прокси я знаю )<br>&gt;&gt;&gt;ipfw add 37 divert 8668 ip from 192.168.0.0/16,10.0.0.0/8 to any 21,20 out <br>&gt;&gt;&gt;via re0 <br>&gt;&gt;&gt;ipfw add 37 divert 8668 ip from any to $nat_ip in via <br>&gt;&gt;&gt;re0 <br>&gt;&gt;<br>&gt;&gt;правила выше херня не https://www.opennet.ru/openforum/vsluhforumID1/82703.html#17 Fri, 07 Nov 2008 10:55:25 GMT &gt;что то думается то натд и механизм отслеживания команды PORT это разные <br>&gt;уровни сетевой модели. дайте ссылку как натд отслеживает команду PORT. <br>&gt;приведенные правила были для пассинвного фтп <br><br>Немного покапавшись в natd выяснилось, что natd использует libalias(3). А немного покопавшись в libalias выяснилось, что эта либа умеет отслеживать фтп команды.<br>(см /usr/src/sys/netinet/libalias/alias_ftp.c). <br> <br> Alias_ftp.c performs special processing for FTP sessions under<br> TCP. Specifically, when a PORT/EPRT command from the client<br> side or 227/229 reply from the server is sent, it is intercepted<br> and modified. The address is changed to the gateway machine<br> and an aliasing port is used.<br><br>Так что можно сказать что natd так же отслеживает и меняет команды ftp.<br><br>Теперь на счет push_fw. Читаем маны и видим.<br><br>man libalias(3):<br><br>PKT_ALIAS_PUNCH_FW<br> This option makes libalias `punch holes' in an<br> ipfirewall(4) based firewall for FTP/IRC DCC connec https://www.opennet.ru/openforum/vsluhforumID1/82703.html#16 Fri, 07 Nov 2008 08:59:14 GMT &gt;&gt;что то думается то натд и механизм отслеживания команды PORT это разные <br>&gt;&gt;уровни сетевой модели. дайте ссылку как натд отслеживает команду PORT. <br>&gt;&gt;приведенные правила были для пассинвного фтп <br>&gt;<br>&gt;Посыпаю голову пеплом.. Не нашел в исходниках чтобы natd отслеживал команд ftp. <br>&gt;Был не прав, вспылил. Однако у меня, при описаных выше правилах <br>&gt;SYN от data connection с 20-ого порта сервера успешно проходит <br>&gt;через natd и доходит до клиента. Одако никаких punch_fw я не <br>&gt;использую. Сейчас разберусь как natd это делает... <br><br>Оданко судя по tcpdump -X после прохождения через natd команда EPRT заменена на другую с ip адресом за которым просиходит NAT. Пока у меня объяснения нет.<br> https://www.opennet.ru/openforum/vsluhforumID1/82703.html#15 Fri, 07 Nov 2008 08:36:57 GMT &gt;что то думается то натд и механизм отслеживания команды PORT это разные <br>&gt;уровни сетевой модели. дайте ссылку как натд отслеживает команду PORT. <br>&gt;приведенные правила были для пассинвного фтп <br><br>Посыпаю голову пеплом.. Не нашел в исходниках чтобы natd отслеживал команд ftp. Был не прав, вспылил. Однако у меня, при описаных выше правилах SYN от data connection с 20-ого порта сервера успешно проходит через natd и доходит до клиента. Одако никаких punch_fw я не использую. Сейчас разберусь как natd это делает...<br><br> https://www.opennet.ru/openforum/vsluhforumID1/82703.html#14 Fri, 07 Nov 2008 07:17:17 GMT что то думается то натд и механизм отслеживания команды PORT это разные уровни сетевой модели. дайте ссылку как натд отслеживает команду PORT.<br>приведенные правила были для пассинвного фтп<br>