https://www.opennet.ru/openforum/vsluhforumID1/63380.html FreeBSD 5.2, proftpd, ipfw<br>Внутри сети все работает нормально, в пассивном режиме и активном.<br>Снаружи работает только активный, но многие используют passive, в итоге ругаются что ничего не работает.<br>rc.firewall содержит следующее:<br>${fwcmd} add pass tcp from any to any 20<br>${fwcmd} add pass tcp from any 20 to any<br>${fwcmd} add pass tcp from any to any 21<br>${fwcmd} add pass tcp from any 21 to any<br>${fwcmd} add pass tcp from any to me 49152-65534<br>${fwcmd} add pass tcp from me 49152-65534 to any<br><br>proftpd.conf:<br>PassivePorts 49152 65534<br><br>пробую:<br>ftp&gt; passive<br>Passive mode on.<br>ftp&gt; ls<br>---&gt; EPSV<br>229 Entering Extended Passive Mode (&#124;&#124;&#124;65499&#124;)<br>ftp: connect: Operation timed out<br><br>что сделано не так? https://www.opennet.ru/openforum/vsluhforumID1/63380.html#11 Fri, 26 Oct 2007 03:56:23 GMT Позвольте поднять эту избитую тему еще раз. У меня наблюдается таже проблема с ProFTPD.<br>В сети нашел много советов на тему как заставить работать passive mode, однако все они относятся к случаю работы сервера за NAT. В моем же случае сервер работает "на переднем крае" и не работает пассивный режим у клиентов, которые сидят за NAT+Firewall.<br> https://www.opennet.ru/openforum/vsluhforumID1/63380.html#10 Tue, 03 Jul 2007 12:33:45 GMT &gt;&gt;Вобщем рано обрадовался. Если работает мой фтп внаружу то пользователи из локалки <br>&gt;&gt;не могут попасть на чужие фтп в интернет, если убрать следующие <br>&gt;&gt;пару строк то пользователи проходят, а мой фтп перестает работать в <br>&gt;&gt;пассиве: <br>&gt;&gt;${fwcmd} add pass tcp from any to any 20 <br>&gt;&gt;${fwcmd} add pass tcp from any 20 to any <br>&gt;&gt;${fwcmd} add pass tcp from any to any 21 <br>&gt;&gt; &lt;-- вот эти <br>&gt;&gt;${fwcmd} add pass tcp from any 21 to any <br>&gt;&gt; &lt;-- строки! <br>&gt;&gt;${fwcmd} add allow tcp from any to me 49152-65534 <br>&gt;&gt;${fwcmd} add allow tcp from me 49152-65534 to any <br>&gt;&gt;${fwcmd} add divert natd all from any to any via an0 <br>&gt;&gt;<br>&gt;&gt;может кто подсказать почему так происходит? <br>&gt;<br>&gt;<br>&gt;Строку divert поднимите в начало списка. <br><br><br>Подскажите, как решилась проблема? У меня такие же правила, но извне на мой сервер в пассивном режиме не попасть.<br> https://www.opennet.ru/openforum/vsluhforumID1/63380.html#9 Thu, 19 Jan 2006 13:21:12 GMT &gt;Вобщем рано обрадовался. Если работает мой фтп внаружу то пользователи из локалки <br>&gt;не могут попасть на чужие фтп в интернет, если убрать следующие <br>&gt;пару строк то пользователи проходят, а мой фтп перестает работать в <br>&gt;пассиве: <br>&gt;${fwcmd} add pass tcp from any to any 20 <br>&gt;${fwcmd} add pass tcp from any 20 to any <br>&gt;${fwcmd} add pass tcp from any to any 21 <br>&gt; &lt;-- вот эти <br>&gt;${fwcmd} add pass tcp from any 21 to any <br>&gt; &lt;-- строки! <br>&gt;${fwcmd} add allow tcp from any to me 49152-65534 <br>&gt;${fwcmd} add allow tcp from me 49152-65534 to any <br>&gt;${fwcmd} add divert natd all from any to any via an0 <br>&gt;<br>&gt;может кто подсказать почему так происходит? <br><br><br>Строку divert поднимите в начало списка. https://www.opennet.ru/openforum/vsluhforumID1/63380.html#8 Thu, 19 Jan 2006 09:49:22 GMT &gt;Вобщем рано обрадовался. Если работает мой фтп внаружу то пользователи из локалки <br>&gt;не могут попасть на чужие фтп в интернет, если убрать следующие <br>&gt;пару строк то пользователи проходят, а мой фтп перестает работать в <br>&gt;пассиве: <br>&gt;${fwcmd} add pass tcp from any to any 20 <br>&gt;${fwcmd} add pass tcp from any 20 to any <br>&gt;${fwcmd} add pass tcp from any to any 21 <br>&gt; &lt;-- вот эти <br>&gt;${fwcmd} add pass tcp from any 21 to any <br>&gt; &lt;-- строки! <br>&gt;${fwcmd} add allow tcp from any to me 49152-65534 <br>&gt;${fwcmd} add allow tcp from me 49152-65534 to any <br>&gt;${fwcmd} add divert natd all from any to any via an0 <br>&gt;<br>&gt;может кто подсказать почему так происходит? <br><br><br>Попробуйте поменять на:<br>${fwcmd} add pass tcp from any to me 21 &lt;-- вот эти <br>${fwcmd} add pass tcp from me 21 to any &lt;-- строки! <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/63380.html#7 Thu, 19 Jan 2006 07:31:29 GMT Вобщем рано обрадовался. Если работает мой фтп внаружу то пользователи из локалки не могут попасть на чужие фтп в интернет, если убрать следующие пару строк то пользователи проходят, а мой фтп перестает работать в пассиве:<br>${fwcmd} add pass tcp from any to any 20<br>${fwcmd} add pass tcp from any 20 to any<br>${fwcmd} add pass tcp from any to any 21 &lt;-- вот эти<br>${fwcmd} add pass tcp from any 21 to any &lt;-- строки!<br>${fwcmd} add allow tcp from any to me 49152-65534<br>${fwcmd} add allow tcp from me 49152-65534 to any<br>${fwcmd} add divert natd all from any to any via an0<br><br>может кто подсказать почему так происходит? https://www.opennet.ru/openforum/vsluhforumID1/63380.html#6 Tue, 17 Jan 2006 10:54:20 GMT Все разобрался, сам олень ;)<br>В не правильном стояли правила в rc.firewall<br>всем спасибо. https://www.opennet.ru/openforum/vsluhforumID1/63380.html#5 Tue, 17 Jan 2006 10:40:27 GMT &gt;а можно чуть попобдробнее? <br>&gt;/usr/ports/ftp/ftpproxy - это оно? <br><br>Оно<br><br>&gt;я так понял что его надо в inetd.conf прикрутить. а остальное насчет <br>&gt;ipfw у меня выглядит в порядке? <br><br>Да в порядке.<br>Покопайте еще конфиг или доку к proftpd на предмет так называемого report IP. Суть в следующем. Когда клиент пытается подсоединиться к ФТП серверу в пассивном режиме, то он входит на управляющий канал по 21 порту. Затем по этому порту он спрашивает у ФТП сервера КУДА нужно подключиться для перехода в пассивный режим. В роли КУДА ФТП сервер отсылает по умолчанию свой IP адрес и порт из диапазона 49000 - 65000. Так вот ФТП сервер может послать клиенту любой IP адрес, лишь бы он умел это делать. <br><br>С proftpd я близко дела не имел, но в другом сервере этот адрес назывался Report IP.<br><br>Ну и внимательно проверьте механизм попадания пакетов из внешней сети на Ваш ФТП. Суть маппинг портов. <br> https://www.opennet.ru/openforum/vsluhforumID1/63380.html#4 Tue, 17 Jan 2006 07:57:33 GMT &gt;&gt;а можно чуть попобдробнее? <br>&gt;&gt;/usr/ports/ftp/ftpproxy - это оно? <br>&gt;&gt;я так понял что его надо в inetd.conf прикрутить. а остальное насчет <br>&gt;&gt;ipfw у меня выглядит в порядке? <br>&gt;<br>&gt;такой вопрос. А на другие фтп ты в пассиве заходиш? <br><br>да изнутри сети на другие фтп и в пассив и в актив режиме все работает.<br>и мой изнутри сети работает, но вот снаружи не выходит, только актив.<br> https://www.opennet.ru/openforum/vsluhforumID1/63380.html#3 Tue, 17 Jan 2006 07:42:50 GMT &gt;&gt;ИМХО не настроен ftp-proxy <br>&gt;&gt;<br>&gt;&gt;Его настройки при использовании PF <br>&gt;&gt;http://dreamcatcher.ru/docs/pf_firewallig.html#top12 <br>&gt;&gt;<br>&gt;&gt;Или попробуйте прикрутить сторонний проксик. <br>&gt;<br>&gt;а можно чуть попобдробнее? <br>&gt;/usr/ports/ftp/ftpproxy - это оно? <br>&gt;я так понял что его надо в inetd.conf прикрутить. а остальное насчет <br>&gt;ipfw у меня выглядит в порядке? <br><br>такой вопрос. А на другие фтп ты в пассиве заходиш?<br>