ipfw, ftp ?
65534 allow from users with ipfw and nat to ftp on any 
Шутник, блин
Научить их пользоваться passive ftp. В IE - не работает.
natd умеет хачить ftp таким образом, что работает и активное и пассивное.
То есть в варианте
ipfw add 1 divert natd all from any to any via ${OIF}
ipfw add 2 pass all from any to any
всё работает.
Если у тебя есть какая-то фильтрация, то возможно что-то работать не будет. Как это исправить - твоя задача.
То есть в варианте
ipfw add 1 divert natd all from any to any via ${OIF}
ipfw add 2 pass all from any to any
всё работает.
Если у тебя есть какая-то фильтрация, то возможно что-то работать не будет. Как это исправить - твоя задача.
ipfw add 2 pass all from any to anyФишка в том, чтоб заставить его работать без этой строчки.
Да, в этом и заключается работа системного администратора.
P.S. Кстати, особо изощренные любители безопасности могут обратить внимание на ключ -punch_fw программы natd.
Вот я и говорю - passive ftp.
> Вот я и говорю - passive ftp.
active тоже можно сделать, если есть желание.
active тоже можно сделать, если есть желание.
В моём случае желания никакого нет
Это ж надо все порты >1000 на in открывать вроде? По крайней мере, я не знаю как IE указать один конкретный порт для входящих ftp-соединений.
Это ж надо все порты >1000 на in открывать вроде? По крайней мере, я не знаю как IE указать один конкретный порт для входящих ftp-соединений.
Научить их пользоваться passive ftp. В IE - не работаетв IE прекрасно работает passive mode.
если его включить.
Да вот то-то и оно, что включал, и никакой внятной реакции от него не добился. ReGet, однако ж, с поставленной задачей справился.
ммм может дело не в ИЕ?
многожды раз проверено...
вчера правда выяснилась интересная вещь, чтобы заработал пассивный режим необходимо не только поставить галочку но и перезапустить ИЕ
многожды раз проверено...
вчера правда выяснилась интересная вещь, чтобы заработал пассивный режим необходимо не только поставить галочку но и перезапустить ИЕ
мдя, перезапустить - это идея 
-punch_fw, как написано в мане, создает динамическое правило, чтобы пропустить трафик нужного соединения, но что-то после нескольких попыток не удалось найти ни одного похожего на правду правила
В моём случае желания никакого нетНет, открывать нужно два больших диапазона, один для старых серверов, один для новых. Можно ограничить тем, что source port должен быть 20. А можно всё таки сделать natd -punch_fw.
Это ж надо все порты >1000 на in открывать вроде? По крайней мере, я не знаю как IE указать один конкретный порт для входящих ftp-соединений.
А можно всё таки сделать natd -punch_fw.Сделал я punch_fw, но никаких положительных изменний не произошло. Ман обещает
-punch_fw basenumber:countвременные правила, но как я ни старался - ни одного правила не засек. Плюс в мане не оговорено, какие правила втыкает natd - для активного или пассивного фтп, или же он отслеживает данную ситуацию?
This option directs natd to ``punch holes'' in an
ipfirewall(4) based firewall for FTP/IRC DCC connections.
This is done dynamically by installing temporary firewall
rules which allow a particular connection (and only that con-
nection) to go through the firewall. The rules are removed
once the corresponding connection terminates.
A maximum of count rules starting from the rule number
basenumber will be used for punching firewall holes. The
range will be cleared for all rules on startup.
Оставить комментарий
SvinkaVJeansah
Как пустить пользователей, сидящих за натом и stateful ipfw, в инет на ftp?