firewall под FreeBSD с FTP Proxy
Про pf плохо читал man.
который ман? pf(4)?
Там описывается устроство pf, увидел кучу сишных структур, поиском по FTP ничего не нашёл.
А вообще, я читал http://www.openbsd.org/faq/pf
В частности единственное, что предлагается здесь: http://www.openbsd.org/faq/pf/ftp.html#server , это:
Там описывается устроство pf, увидел кучу сишных структур, поиском по FTP ничего не нашёл.
А вообще, я читал http://www.openbsd.org/faq/pf
В частности единственное, что предлагается здесь: http://www.openbsd.org/faq/pf/ftp.html#server , это:
In this case, PF is running on the FTP server itself rather than a dedicated firewall computer. When servicing a passive FTP connection, FTP will use a randomly chosen, high TCP port for incoming data. By default, OpenBSD's native FTP server ftpd(8) uses the range 49152 to 65535. Obviously, these must be passed through the filter rules, along with port 21 (the FTP control port):Может я не там смотрю?
pass in on $ext_if proto tcp from any to any port 21 keep state
pass in on $ext_if proto tcp from any to any port > 49151 \
keep state
Note that if you desire, you can tighten up that range of ports considerably. In the case of the OpenBSD ftpd(8) program, that is done using the sysctl(8) variables net.inet.ip.porthifirst and net.inet.ip.porthilast.
man 5 pf.conf
Да, спасибо... Посмотрел, но что-то всё равно ничего не увидел.
Какие ключевые слова-то?
Какие ключевые слова-то?
ftp-proxy
так я понял, что ftp-proxy только клиентам в режиме FTP Active ломиться из-за NAT'а и/или файрвола помогает.
он ещё умеет для входящих пассивных коннектов дырки в файрволе открывать?
.... после некоторого раздумья ....
это имеются ввиду user-правила, настроенные на юзера из под которого запущен ftp-proxy?
он ещё умеет для входящих пассивных коннектов дырки в файрволе открывать?
.... после некоторого раздумья ....
это имеются ввиду user-правила, настроенные на юзера из под которого запущен ftp-proxy?
> так я понял, что ftp-proxy только клиентам в режиме FTP Active ломиться из-за NAT'а и/или файрвола помогает.
Да, но мне кажется, что его и pf можно настроить так чтобы он маскировал входящие соединения на локальный сервер. Может быть ошибаюсь.
P.S. Могу за награждение написать к штатному ftpd патч, чтобы он открывал дыры в ipfw.
Да, но мне кажется, что его и pf можно настроить так чтобы он маскировал входящие соединения на локальный сервер. Может быть ошибаюсь.
P.S. Могу за награждение написать к штатному ftpd патч, чтобы он открывал дыры в ipfw.
> Да, но мне кажется, что его и pf можно настроить так чтобы он маскировал входящие соединения на локальный сервер.
М.б., но я что-то не нашёл ничего кроме user-правил, которые, как-то глючат под фрюхой (если верить секции bugs).
Ещё есть какой-то pftpx, тоже ftp-proxy, умеющий общаться с PF, но его ещё не смотрел.
> P.S. Могу за награждение написать к штатному ftpd патч, чтобы он открывал дыры в ipfw.
Спасибо, конечно.
Но я не юзаю штатный ftpd.
М.б., но я что-то не нашёл ничего кроме user-правил, которые, как-то глючат под фрюхой (если верить секции bugs).
Ещё есть какой-то pftpx, тоже ftp-proxy, умеющий общаться с PF, но его ещё не смотрел.
> P.S. Могу за награждение написать к штатному ftpd патч, чтобы он открывал дыры в ipfw.
Спасибо, конечно.
Но я не юзаю штатный ftpd.
Оставить комментарий
psihodog
Кроме IPFilter'а открывать дырки в файрволе для пассивных коннектов к FTP кто-нть умеет?Или какой-нть демон есть, который это делает для ipfw или pf?
Поискал, чота ничего дельного не нашёл.
Открывать диапазон портов плиз не предлагать.