Есть машина на FreeBsd 6.1 классическая схема, один интерфес внутренний второй смотрит в инет. На машине поднят нат. Задача - занатить ftp от юзеров в инет. Ни как не могу нормально настроить ipfw упераюсь, в то что приходится разрешать входящие подключения инициируемые снаружи, ни кто не подскажет как правильно настроить. Нужны и пассивный и активный режимы. Заранее благодарен.

• ipfw nat  и ftp,NoName, 11:50 , 26-Сен-06
• ipfw nat  и ftp,Алексей, 11:51 , 26-Сен-06
  • ipfw nat  и ftp,Jekas, 19:15 , 26-Сен-06
    • ipfw nat  и ftp,Orlic, 19:34 , 26-Сен-06
      • ipfw nat  и ftp,nixlike, 16:43 , 27-Сен-06

>Есть машина на FreeBsd 6.1 классическая схема, один интерфес внутренний второй смотрит
>в инет. На машине поднят нат. Задача - занатить ftp от
>юзеров в инет. Ни как не могу нормально настроить ipfw упераюсь,
>в то что приходится разрешать входящие подключения инициируемые снаружи, ни кто
>не подскажет как правильно настроить. Нужны и пассивный и активный режимы.
>Заранее благодарен.

ipfw для решения вашей задачи несколько не подходит.... используйте ipf

MyHomePage - http://surgutnet.ru

>Есть машина на FreeBsd 6.1 классическая схема, один интерфес внутренний второй смотрит
>в инет. На машине поднят нат. Задача - занатить ftp от
>юзеров в инет. Ни как не могу нормально настроить ipfw упераюсь,
>в то что приходится разрешать входящие подключения инициируемые снаружи, ни кто
>не подскажет как правильно настроить. Нужны и пассивный и активный режимы.
>Заранее благодарен.

Старинная проблемма. Просто статикой не настроиш 100%.
Была идея создавать правила на ходу выдергивая их из статистики соеденений.

Но так и не пролучилось.

>>Есть машина на FreeBsd 6.1 классическая схема, один интерфес внутренний второй смотрит
>>в инет. На машине поднят нат. Задача - занатить ftp от
>>юзеров в инет. Ни как не могу нормально настроить ipfw упераюсь,
>>в то что приходится разрешать входящие подключения инициируемые снаружи, ни кто
>>не подскажет как правильно настроить. Нужны и пассивный и активный режимы.
>>Заранее благодарен.
>
>
>Старинная проблемма. Просто статикой не настроиш 100%.
>Была идея создавать правила на ходу выдергивая их из статистики соеденений.
>
>Но так и не пролучилось.
А динамикой всякими там keep-state ни у кого не получалось?

>>Но так и не пролучилось.
>А динамикой всякими там keep-state ни у кого не получалось?

правила с keep-state как то не очень прозрачны для меня. Все равно срабатывает

allow tcp from any to any established

а когда запрещаешь established - то после истечения TTL правил пакеты правило "погибает"...

Если я неправ - поправьте меня

>>>Но так и не пролучилось.
>>А динамикой всякими там keep-state ни у кого не получалось?
>
>правила с keep-state как то не очень прозрачны для меня. Все равно
>срабатывает
>
>allow tcp from any to any established
>
>а когда запрещаешь established - то после истечения TTL правил пакеты правило
>"погибает"...
>
>Если я неправ - поправьте меня

используй ftp-proxy и все у тебя получится