URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 55360
[ Назад ]

Исходное сообщение
"openbsd3.6: ступоры фтп"
Отправлено somm , 10-Апр-05 00:33

здраствуйте
при добавлении такого правила:
pass in on $ext_if proto tcp from any to ($ext_if) port 21 keep state
pass in on $ext_if proto tcp from any to ($ext_if) port >49151 keep state\
( source-track rule, max-src-states 3 )
перестаёт отвечать ftpd на некоторые запросы :( т е клиент сообщает об истечении таймаута на запрос, но на n-ой попытке всё же получается
я что то делаю не так? спасибо заранее

Содержание

openbsd3.6: ступоры фтп,davey, 11:47 , 10-Апр-05
- openbsd3.6: ступоры фтп,somm, 15:43 , 10-Апр-05
openbsd3.6: ступоры фтп,pentarh, 17:55 , 10-Апр-05
- openbsd3.6: ступоры фтп,somm, 18:24 , 10-Апр-05
  - openbsd3.6: ступоры фтп,somm, 18:46 , 10-Апр-05

Сообщения в этом обсуждении

"openbsd3.6: ступоры фтп"
Отправлено davey , 10-Апр-05 11:47

во втором правиле порт > 1023
вообще, вот пример
http://docs.hp.com/en/B9901-90009/ch05s03.html
правила переправишь сам

"openbsd3.6: ступоры фтп"
Отправлено somm , 10-Апр-05 15:43

>во втором правиле порт > 1023
>вообще, вот пример
>http://docs.hp.com/en/B9901-90009/ch05s03.html
>правила переправишь сам
в манах сказано что ftpd использует порты выше 49151
впрочем, даже если указывать >1023 ничего не изменилось
проблема именно в ( source-track rule, max-src-states 3 ) - без этого всё прекрасно работает :-/
ещё идеи, предложения?

"openbsd3.6: ступоры фтп"
Отправлено pentarh , 10-Апр-05 17:55

>здраствуйте
>при добавлении такого правила:
>pass in on $ext_if proto tcp from any to ($ext_if) port 21
>keep state
>pass in on $ext_if proto tcp from any to ($ext_if) port >49151 keep state\
>
> ( source-track rule, max-src-states 3 )
>перестаёт отвечать ftpd на некоторые запросы :( т е клиент сообщает об
>истечении таймаута на запрос, но на n-ой попытке всё же получается
>
>я что то делаю не так? спасибо заранее
Про SYN-флаги забыл ты
pass in on $ext_if proto tcp from any to ($ext_if) port 21 flags S keep state
pass in on $ext_if proto tcp from any to ($ext_if) port >49151 flags S keep state
Ну и я надеюсь что исходящий трафик разрешен :) Чето типа:
pass out proto tcp all keep state

"openbsd3.6: ступоры фтп"
Отправлено somm , 10-Апр-05 18:24

>Про SYN-флаги забыл ты
>
>pass in on $ext_if proto tcp from any to ($ext_if) port 21
>flags S keep state
>pass in on $ext_if proto tcp from any to ($ext_if) port >49151 flags S keep state
>
>Ну и я надеюсь что исходящий трафик разрешен :) Чето типа:
>pass out proto tcp all keep state
flags S/SA на самом деле... но о5 же не в них дело
pass out ... ничего не изменит - keep state там неспроста написано...
ещё раз: затупоны появляются только когда указываю source-track rule, max-src-states 3
возможно кто-нить заделится _работающим_ конфигом для обсд3.6 с ограниченным числом коннектов к фтп с одного ip? или можт я как то неправильно понимаю stateful tracking? :-/

"openbsd3.6: ступоры фтп"
Отправлено somm , 10-Апр-05 18:46

tcpdump -i pflog0 также не показывает что блокируются какие-либо пакеты ( дефолтная политика block log all), так что проблема по-любому в stateful tracking
буду несказанно благодарен за конфиг :)