https://www.opennet.ru/openforum/vsluhforumID10/4464.html Народ, помогите, пожалуйста, я туплю, как грамотно написать правила для фтп в пассивном режиме, есть ли какой нить модуль.<br><br>У меня шлюз на фре7 с ядерным натом (ipfw),<br>как всегда проблема с пассивным фтп, но в инете нашёл решение:<br>alias_ftp<br>модуль подгрузил, но вот открывать постоянный доступ на все порты более 1024 во вне очень не хочется, а без него не пашет (и вроде не должно?), можно ли как-то решить это более грамотно?<br>Как бы динамически отлавливать сессии и порты или фтп клиенты на один порт настроить (тогда какой для винды и никсов посоветуете) или ещё как, я в протоколах не силён, но должно же, небось быть красивое решение? <br><br><br>Заранее, СПАСИБО, <br>извиняюсь за чайниковость,<br>гугл не рулит :(<br>с уважением,<br>Alex123 <br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#11 Wed, 23 Dec 2009 05:43:24 GMT &gt;<br>&gt;&gt;&gt;может что-то через sysctrl выставляется, но я чёт не нашёл :(... <br>&gt;&gt;<br>&gt;&gt;man ipfw <br>&gt;<br>&gt;задаётся через sysctl и через опции ната, но по ману ипфв я <br>&gt;её не нашёл, и в сюсстл тоже :( <br><br>гоню )<br>punch_fw это для natd - man natd<br>в ядрёном такой опцайки нет ...<br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#10 Tue, 22 Dec 2009 23:37:50 GMT <br>&gt;&gt;может что-то через sysctrl выставляется, но я чёт не нашёл :(... <br>&gt;<br>&gt;man ipfw <br><br>задаётся через sysctl и через опции ната, но по ману ипфв я её не нашёл, и в сюсстл тоже :( <br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#9 Tue, 22 Dec 2009 09:42:15 GMT &gt;&gt;эээ ну во первых речь про НАТ! <br>&gt;&gt;если нат демоном - в конфиге демона пробуй <br>&gt;&gt;если ядерный - то в конфиге ipfw <br>&gt;<br>&gt;Ну у меня НАТ ядерный, не НАТд, а ипфв нат... <br>&gt;то ли я туплю, то ли у него нет конфига, правила в <br>&gt;/etc/rc.firewall.myconf <br>&gt;но там только правила и другой синтаксис вроде не предусмотрен :( <br>&gt;<br>&gt;может что-то через sysctrl выставляется, но я чёт не нашёл :(... <br><br>man ipfw<br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#8 Tue, 22 Dec 2009 09:14:34 GMT &gt;эээ ну во первых речь про НАТ! <br>&gt;если нат демоном - в конфиге демона пробуй <br>&gt;если ядерный - то в конфиге ipfw <br><br>Ну у меня НАТ ядерный, не НАТд, а ипфв нат...<br>то ли я туплю, то ли у него нет конфига, правила в /etc/rc.firewall.myconf<br>но там только правила и другой синтаксис вроде не предусмотрен :(<br><br>может что-то через sysctrl выставляется, но я чёт не нашёл :(...<br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#7 Tue, 22 Dec 2009 05:08:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;попробуй мож с пасивным сканает <br>&gt;<br>&gt;а как грамотно её конфигить? <br>&gt;я запускаю ИПФВ из под rc.conf: <br>&gt;<br>&gt;# -- FireWall <br>&gt;firewall_enable="YES" <br>&gt;#natd_enable="YES" <br>&gt;firewall_script="/etc/rc.firewall" <br>&gt;firewall_type="/etc/rc.firewall.myconf" <br><br>эээ ну во первых речь про НАТ!<br>если нат демоном - в конфиге демона пробуй<br>если ядерный - то в конфиге ipfw<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#6 Tue, 22 Dec 2009 00:42:08 GMT <br>&gt;[оверквотинг удален]<br>&gt; <br>&gt; nection) to go through the firewall. <br>&gt; The rules are removed <br>&gt; <br>&gt; once the corresponding connection terminates. <br>&gt;<br>&gt;по крайней мере с активым все нормально работает <br>&gt;в ядерном нате тоже нормально <br>&gt;<br>&gt;попробуй мож с пасивным сканает <br><br>а как грамотно её конфигить?<br>я запускаю ИПФВ из под rc.conf:<br> <br># -- FireWall<br>firewall_enable="YES"<br>#natd_enable="YES"<br>firewall_script="/etc/rc.firewall"<br>firewall_type="/etc/rc.firewall.myconf"<br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#5 Mon, 21 Dec 2009 15:10:14 GMT &gt;<br>&gt;&gt;в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты <br>&gt;&gt;<br>&gt;<br>&gt;Да если б в сети были только пингвины, спрашиваю по тому, что <br>&gt;многие виндовые трояндаунлодеры грузят вири именно с верхних портов :(, вот <br>&gt;и не хочется всё подряд разрешать :( <br>&gt;<br>&gt;Хотелось бы чтоб ipfw вытягивал порты из служебной сессии и разрешал доступ <br>&gt;к ним только на время существования первой... <br><br>man natd<br> -punch_fw basenumber:count<br> This option directs natd to ``punch holes'' in an<br> ipfirewall(4) based firewall for FTP/IRC DCC connections.<br> This is done dynamically by installing temporary firewall<br> rules which allow a particular connection (and only that con-<br> nection) to go through the firewall. The rules are removed<br> once the corresponding connection terminates.<br><br>по крайней мере с активым все нормально работает<br>в ядерном нате тоже нормально<br><br>попробуй мож с пасивным сканает<br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#4 Mon, 21 Dec 2009 13:37:26 GMT <br>&gt;в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты <br>&gt;<br><br>Да если б в сети были только пингвины, спрашиваю по тому, что многие виндовые трояндаунлодеры грузят вири именно с верхних портов :(, вот и не хочется всё подряд разрешать :(<br><br>Хотелось бы чтоб ipfw вытягивал порты из служебной сессии и разрешал доступ к ним только на время существования первой...<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4464.html#3 Mon, 21 Dec 2009 04:59:12 GMT &gt;Народ, помогите, пожалуйста, я туплю, как грамотно написать правила для фтп в <br>&gt;пассивном режиме, есть ли какой нить модуль. <br><br>в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты<br><br>&gt;[оверквотинг удален]<br>&gt;порт настроить (тогда какой для винды и никсов посоветуете) или ещё <br>&gt;как, я в протоколах не силён, но должно же, небось <br>&gt;быть красивое решение? <br>&gt;<br>&gt;<br>&gt;Заранее, СПАСИБО, <br>&gt;извиняюсь за чайниковость, <br>&gt;гугл не рулит :( <br>&gt;с уважением, <br>&gt;Alex123 <br><br>