URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59128
[ Назад ]

Исходное сообщение
"Доступ к ФТП извне (FreeBSD)"
Отправлено bromantik , 12-Авг-05 08:11

При изучении ipfw столкнулся с проблемой.
Создал правило
ext_ip=1.1.1.1
ipfw add allow tcp from any to $ext_ip 20,21
ipfw add allow tcp from any 20,21 to $ext_ip
В пассивном режиме не работает, в общем-то и не должно конечно, вот и вопрос, какой-то модуль может существует???
Как мне открыть ФТП корректно?...
Заранее спасибо...

Содержание

Доступ к ФТП извне (FreeBSD),ulllis, 08:31 , 12-Авг-05
- Доступ к ФТП извне (FreeBSD),bromantik, 15:22 , 12-Авг-05
Доступ к ФТП извне (FreeBSD),AMDmi3, 15:40 , 12-Авг-05

Сообщения в этом обсуждении

"Доступ к ФТП извне (FreeBSD)"
Отправлено ulllis , 12-Авг-05 08:31

а старшие порты бабушка откроет?
по 20, 21 перeдаются только команды.
данные требуют для себя высших, пример (+ к твоему конфу):
1) ipfw add pass tcp from any to me 30000-40000
2) vsftpd.conf:
pasv_min_port=30000
pasv_max_port=40000
ессно, эти порты освобождаются от других супружеских обязанностей.

"Доступ к ФТП извне (FreeBSD)"
Отправлено bromantik , 12-Авг-05 15:22

>а старшие порты бабушка откроет?
>
>по 20, 21 перeдаются только команды.
>данные требуют для себя высших, пример (+ к твоему конфу):
>
>1) ipfw add pass tcp from any to me 30000-40000
>
>2) vsftpd.conf:
>
>pasv_min_port=30000
>pasv_max_port=40000
>
>ессно, эти порты освобождаются от других супружеских обязанностей.
Большое спасибо, примерно так и думал, но вот не знал, что можно указывать на какие порты биндиться... У меня proftpd, сейчас копну

"Доступ к ФТП извне (FreeBSD)"
Отправлено AMDmi3 , 12-Авг-05 15:40

>При изучении ipfw столкнулся с проблемой.
>Создал правило
>ext_ip=1.1.1.1
>ipfw add allow tcp from any to $ext_ip 20,21
>ipfw add allow tcp from any 20,21 to $ext_ip
>
>В пассивном режиме не работает, в общем-то и не должно конечно, вот
>и вопрос, какой-то модуль может существует???
>Как мне открыть ФТП корректно?...
>Заранее спасибо...
Читать доки по FTP и man ipfw.
комманды - входящее соединение на твой 21 порт.
данные, активный режим - исходищие с твоего 20 порта наружу
данные, пассивный режим - входящие на твой случайный порт из высокого диапазона (указываеться в настройках ftp сервера).
В ipfw есть чудесные опции established (матчит пакеты, принадлежащие установленным соединениям) и setup (матчит первый SYN пакет в соединении).
Поэтому набор должен выглядеть примерно так:
allow tcp from any to any established (пропускаем установленные соединения)
allow tcp from any to $ext_ip 21 setup (incoming control connection)
allow tcp from any to $ext_ip 49152-65535 (incoming passive date connection)
allow tcp from $ext_ip 21 to any (outgoing active data connection)