URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2208
[ Назад ]

Исходное сообщение
"PF и passive FTP"
Отправлено Sergey , 28-Июл-05 17:45

Есть FreeBSD 5.4 и firewall на PF.
Не работает passive FTP, делаю как написано
http://www.openbsd.org/faq/pf/ftp.html в разделе FTP Client Behind the Firewall.
Клиент все равно не может подконнектиться к серверу :(
Конфиг
scrub in all
rdr pass on lnc0 proto tcp from any to any port 21 -> 127.0.0.1 port 8021
pass in quick on lnc1 inet proto from port 20 to (lnc1) user proxy flags S/SA keep state
pass out quick from any to any keep state
pass in quick on lo0
pass out quick on lo0
block proto tcp flags S/SAFRP
block proto udp
lnc0 - Локалка
lnc1 - Инет

Содержание

PF и passive FTP,Moralez, 09:40 , 29-Июл-05
- PF и passive FTP,Sergey, 10:05 , 29-Июл-05
  - PF и passive FTP,Moralez, 12:25 , 29-Июл-05
    - PF и passive FTP,Sergey, 12:36 , 29-Июл-05
      - PF и passive FTP,Eterm, 19:08 , 09-Июл-07

Сообщения в этом обсуждении

"PF и passive FTP"
Отправлено Moralez , 29-Июл-05 09:40

ftp-proxy нужен только для прокидывания через NAT. убирай rdr, оставляй что-то типа:
pass in quick proto tcp from $internal_nets to $internal_addr port 21 flags S/SA keep state
pass in quick proto tcp from $internal_nets to $internal_addr user { $ftpusers } flags S/SA keep state
в макросе ftpusers прописаны все ftp-юзеры (у меня их несколько). Если надо анонимные, то просто user ftp

"PF и passive FTP"
Отправлено Sergey , 29-Июл-05 10:05

>ftp-proxy нужен только для прокидывания через NAT. убирай rdr, оставляй что-то типа:
Мне как раз и надо подключиться а ftp из локальной сеть к серверу с инете. Подключение в активном режиме проходит нормально, а пассивном нет.
Firefox пишет: 425 Can't open data connection

"PF и passive FTP"
Отправлено Moralez , 29-Июл-05 12:25

а нельзя было нормально конфиг запостить? а не куски...
например в том, что сейчас есть косяк как минимум в строке rdr. Что за
rdr pass
?

"PF и passive FTP"
Отправлено Sergey , 29-Июл-05 12:36

>а нельзя было нормально конфиг запостить? а не куски...
>
>например в том, что сейчас есть косяк как минимум в строке rdr.
>Что за
>
>rdr pass
>
>?
Это нормальный конфиг, я на нем отладку делаю, что бы другие правила не мешали. А по поводу rdr pass ты не прав
man pf.conf(5)
If the pass modifier is given, packets matching the translation rule are
   passed without inspecting the filter rules:
     rdr pass on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 \
           port 8080

"PF и passive FTP"
Отправлено Eterm , 09-Июл-07 19:08

>>а нельзя было нормально конфиг запостить? а не куски...
>>
>>например в том, что сейчас есть косяк как минимум в строке rdr.
>>Что за
>>
>>rdr pass
>>
>>?
>Это нормальный конфиг, я на нем отладку делаю, что бы другие правила
>не мешали. А по поводу rdr pass ты не прав
>
>man pf.conf(5)
>
>If the pass modifier is given, packets matching the translation rule are
>
>   passed without inspecting the filter rules:
>
>     rdr pass on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 \
>           port
>8080
вот эти строчки добавь.)
и не забудь добавить ключик -n в запуск ftp-proxy
pass in on $ext_if proto tcp from any to any port 21 keep state
pass in on $ext_if proto tcp from any to any port > 49151 keep state