Народ, помогите, пожалуйста, я туплю, как грамотно написать правила для фтп в пассивном режиме, есть ли какой нить модуль.

У меня шлюз на фре7 с ядерным натом (ipfw),
как всегда проблема с пассивным фтп, но в инете нашёл решение:
alias_ftp
модуль подгрузил, но вот открывать постоянный доступ на все порты более 1024 во вне очень не хочется, а без него не пашет (и вроде не должно?), можно ли как-то решить это более грамотно?
Как бы динамически отлавливать сессии и порты или фтп клиенты на один порт настроить (тогда какой для винды и никсов посоветуете) или ещё как, я в протоколах не силён, но должно же,  небось быть красивое решение?

Заранее, СПАСИБО,
извиняюсь за чайниковость,
гугл не рулит :(
с уважением,
Alex123

• пассивный Ftp через ipfw грамотно,sa, 11:44 , 20-Дек-09
  • пассивный Ftp через ipfw грамотно,Alex123, 17:14 , 20-Дек-09
• пассивный Ftp через ipfw грамотно,Pahanivo, 07:59 , 21-Дек-09
  • пассивный Ftp через ipfw грамотно,Alex123, 16:37 , 21-Дек-09
    • пассивный Ftp через ipfw грамотно,Pahanivo, 18:10 , 21-Дек-09
      • пассивный Ftp через ipfw грамотно,Alex123, 03:42 , 22-Дек-09
        • пассивный Ftp через ipfw грамотно,Pahanivo, 08:08 , 22-Дек-09
          • пассивный Ftp через ipfw грамотно,Alex123, 12:14 , 22-Дек-09
            • пассивный Ftp через ipfw грамотно,Pahanivo, 12:42 , 22-Дек-09
              • пассивный Ftp через ipfw грамотно,Alex123, 02:37 , 23-Дек-09
                • пассивный Ftp через ipfw грамотно,Pahanivo, 08:43 , 23-Дек-09

отслеживать RELATED соединения
http://www.protocols.ru/modules.php?name=News&file=article&s...

>отслеживать RELATED соединения
>http://www.protocols.ru/modules.php?name=News&file=article&s...

О, СПАСИБО, похоже то что нужно, а как правила для ipfw грамотно написать, чтоб связать с фтп? а то я совсем чайник :(

Заранее СПАСИБО.
С уважением,
Alex123.

>Народ, помогите, пожалуйста, я туплю, как грамотно написать правила для фтп в
>пассивном режиме, есть ли какой нить модуль.

в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты

>[оверквотинг удален]
>порт настроить (тогда какой для винды и никсов посоветуете) или ещё
>как, я в протоколах не силён, но должно же,  небось
>быть красивое решение?
>
>
>Заранее, СПАСИБО,
>извиняюсь за чайниковость,
>гугл не рулит :(
>с уважением,
>Alex123

>в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты
>

Да если б в сети были только пингвины, спрашиваю по тому, что многие виндовые трояндаунлодеры грузят вири именно с верхних портов :(, вот и не хочется всё подряд разрешать :(

Хотелось бы чтоб ipfw вытягивал порты из служебной сессии и разрешал доступ к ним только на время существования первой...

>
>>в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты
>>
>
>Да если б в сети были только пингвины, спрашиваю по тому, что
>многие виндовые трояндаунлодеры грузят вири именно с верхних портов :(, вот
>и не хочется всё подряд разрешать :(
>
>Хотелось бы чтоб ipfw вытягивал порты из служебной сессии и разрешал доступ
>к ним только на время существования первой...

man natd
     -punch_fw basenumber:count
                 This option directs natd to ``punch holes'' in an
                 ipfirewall(4) based firewall for FTP/IRC DCC connections.
                 This is done dynamically by installing temporary firewall
                 rules which allow a particular connection (and only that con-
                 nection) to go through the firewall.  The rules are removed
                 once the corresponding connection terminates.

по крайней мере с активым все нормально работает
в ядерном нате тоже нормально

попробуй мож с пасивным сканает

>[оверквотинг удален]
>            
>     nection) to go through the firewall.
> The rules are removed
>            
>     once the corresponding connection terminates.
>
>по крайней мере с активым все нормально работает
>в ядерном нате тоже нормально
>
>попробуй мож с пасивным сканает

а как грамотно её конфигить?
я запускаю ИПФВ из под rc.conf:
      
# -- FireWall
firewall_enable="YES"
#natd_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/etc/rc.firewall.myconf"

>[оверквотинг удален]
>>попробуй мож с пасивным сканает
>
>а как грамотно её конфигить?
>я запускаю ИПФВ из под rc.conf:
>
># -- FireWall
>firewall_enable="YES"
>#natd_enable="YES"
>firewall_script="/etc/rc.firewall"
>firewall_type="/etc/rc.firewall.myconf"

эээ ну во первых речь про НАТ!
если нат демоном - в конфиге демона пробуй
если ядерный - то в конфиге ipfw

>эээ ну во первых речь про НАТ!
>если нат демоном - в конфиге демона пробуй
>если ядерный - то в конфиге ipfw

Ну у меня НАТ ядерный, не НАТд, а ипфв нат...
то ли я туплю, то ли у него нет конфига, правила в /etc/rc.firewall.myconf
но там только правила и другой синтаксис вроде не предусмотрен :(

может что-то через sysctrl выставляется, но я чёт не нашёл :(...

>>эээ ну во первых речь про НАТ!
>>если нат демоном - в конфиге демона пробуй
>>если ядерный - то в конфиге ipfw
>
>Ну у меня НАТ ядерный, не НАТд, а ипфв нат...
>то ли я туплю, то ли у него нет конфига, правила в
>/etc/rc.firewall.myconf
>но там только правила и другой синтаксис вроде не предусмотрен :(
>
>может что-то через sysctrl выставляется, но я чёт не нашёл :(...

man ipfw

>>может что-то через sysctrl выставляется, но я чёт не нашёл :(...
>
>man ipfw

задаётся через sysctl и через опции ната, но по ману ипфв я её не нашёл, и в сюсстл тоже :(  

>
>>>может что-то через sysctrl выставляется, но я чёт не нашёл :(...
>>
>>man ipfw
>
>задаётся через sysctl и через опции ната, но по ману ипфв я
>её не нашёл, и в сюсстл тоже :(

гоню )
punch_fw это для natd - man natd
в ядрёном такой опцайки нет ...