https://www.opennet.me/openforum/vsluhforumID1/83350.html Я туплю :((, хотя странно:<br>есть внутренняя сетка на 5 компов с ипами диапазона {intnet}<br>есть роутер с фрёй 7, натом и ипфв<br>есть интерфейс роутера, смотрящи во внутреннюю сеть {intif}<br>есть интерфейс роутера, смотрящи во внешнюю сеть {outif}<br>есть ip адресс внешнего интерфейса роутера {routerip}<br><br>Есть проблема: фтп клиенты из внутренней сети не могут подключится к серверам во внешней сети, не только по активному, но и по пассивному протоколу :((<br>причём интернет по http работает без проблем, хотя правила применяются почти одни и теже<br>подключения происходят с внутренних компов порты 6000-7000 на сервера порты 21 того же диапазона что и {routerip} в пределах маски 255.0.0.0.<br><br>ниже привожу правила фаерволла и лог фтп клиента<br><br>[log=filezilla]<br>Статус:Соединяюсь с {server_ip}:21...<br>Статус:Соединение установлено, ожидание приглашения...<br>Ответ:220 Gene6 FTP Server v3.9.0 (Build 2) ready...<br>Команда:USER anonymous<br>Ответ:331 Password required for anonymous.<br>Команда:PASS **************<br>Ответ:230 Us https://www.opennet.me/openforum/vsluhforumID1/83350.html#15 Wed, 17 Mar 2010 20:02:22 GMT &gt;столько оффтопа, а по делу так никто ничего и не сказал. <br><br>Давно забил на это дело, но недавно подвернулось, может кому поможет:<br> <br>[q]<br>после запуска модуля alias_ftp.ko (или вручную через kldload alias_ftp.ko или через /boot/loader.conf alias_ftp_load="YES") поведение ipfw nat изменяется к лучшему - он начнет пропускать через себя активные FTP сессии инициализированные от клиентов находящихся за ним. Модуль alias_ftp отслеживат FTP трафик проходящий через нат и динамически изменяет внутреннюю таблицу ната для установления соответствия номеров портов используемых в сессии.<br>[/q]<br><br>Если кто знает, как заставить ipfw создавать динамические правила вытаскивая из фтп командных сессий номера дата портов, напишите -- буду благодарен и вновь вернусь к данному вопросу....<br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#14 Thu, 02 Jul 2009 05:19:25 GMT столько оффтопа, а по делу так никто ничего и не сказал.<br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#13 Wed, 17 Dec 2008 13:20:30 GMT &gt;&gt;если просто защитить сеть - это уже совершенно другое. <br>&gt;<br>&gt;Ну в винде есть такое понятие как вирусы -- защита от них <br>&gt;фаерволом -- не лучьшее решение, но тем не менее процентов 20-30 <br>&gt;таким образом можно убрать. <br><br>Фереволом можно в лучшем случае их обнаружить, например спамботов.<br><br>&gt;&gt;&gt;А куды глядеть, чтоб активный режим настроить? <br>&gt;&gt;<br>&gt;&gt;у тебя же не natd? <br>&gt;<br>&gt;Вроде, если я правильно разобрался, kenel nat -- потомок natd, просто с <br>&gt;изменённым синтаксисом, и встроенный в ядро. <br><br>с кернел нат я не копался - попробуй для начала разрешить все на вход выход<br>возможно при полность открытом фареволе актив и так заработает<br><br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#12 Wed, 17 Dec 2008 13:07:40 GMT &gt;если просто защитить сеть - это уже совершенно другое. <br><br>Ну в винде есть такое понятие как вирусы -- защита от них фаерволом -- не лучьшее решение, но тем не менее процентов 20-30 таким образом можно убрать.<br><br>&gt;&gt;А куды глядеть, чтоб активный режим настроить? <br>&gt;<br>&gt;у тебя же не natd? <br><br>Вроде, если я правильно разобрался, kenel nat -- потомок natd, просто с изменённым синтаксисом, и встроенный в ядро. <br><br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#11 Wed, 17 Dec 2008 08:34:47 GMT &gt;&gt;Вообще если нt стоит задача настроить пароноидальный фаревол<br>&gt;<br>&gt;Как раз на оборот -- именно такая задача и стоит -- в <br>&gt;сети же компы с виндой :( <br><br>если ты поставил шлюз, те физически разделил сети - о внешних угрозаз можно забыть, ибо забратся венутрь практически нереально, если ты конечно не используешь пароли типа 123 и не закрыл ssh из вне. Параноидальность как раз заключается в фильтрации также всего исходящего - задай себе вопрос - ОНО ТЕБЕ НАДО? каждый раз донастравать шлюз под новые требования? если требуется разграничить интернет для пользователей - это одно, если просто защитить сеть - это уже совершенно другое.<br>&gt;А куды глядеть, чтоб активный режим настроить? <br><br>у тебя же не natd?<br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#10 Tue, 16 Dec 2008 13:45:56 GMT &gt;&gt;/sbin/modprobe ip_conntrack_ftp <br>&gt;&gt;/sbin/modprobe ip_nat_ftp <br>&gt;<br>&gt;Этож модули ipnat, а не natd/kernel NAT? (тот что в седьмой под <br>&gt;ipfw работает)?? или я не прав?? <br><br>я понял , не сразу дочитал .<br>у меня есть вариант для pf<br>:<br>ipreal=<br>iplocal=10.35.0.0/16<br><br>map em0 $iplocal -&gt; $ipreal portmap tcp/udp 40000:50000<br>map em0 $iplocal -&gt; $ipreal proxy port ftp ftp/tcp<br>map em0 $iplocal -&gt; $ipreal<br><br>после чего : <br>/sbin/ipnat -CF -f /my_nat_rules<br><br>пс , а те модули что я выше написал актуальны толкьо для Линукса.<br><br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#9 Tue, 16 Dec 2008 13:32:51 GMT &gt;Вообще если нt стоит задача настроить пароноидальный фаревол<br><br>Как раз на оборот -- именно такая задача и стоит -- в сети же компы с виндой :(<br><br>А куды глядеть, чтоб активный режим настроить?<br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#8 Tue, 16 Dec 2008 13:29:37 GMT &gt;/sbin/modprobe ip_conntrack_ftp <br>&gt;/sbin/modprobe ip_nat_ftp <br><br>Этож модули ipnat, а не natd/kernel NAT? (тот что в седьмой под ipfw работает)?? или я не прав?? <br><br> https://www.opennet.me/openforum/vsluhforumID1/83350.html#7 Tue, 16 Dec 2008 12:59:55 GMT /sbin/modprobe ip_conntrack_ftp<br>/sbin/modprobe ip_nat_ftp<br>