https://slinkov.ru/openforum/vsluhforumID1/79023.html Доброй ночи. Вразумите меня по поводу такой задачи.<br>Пусть имеетсся шлюз FreeBSD 6 с двумя сетевыми картами и используется IPFW в связке с NATD. Пусть мы пишем простые правила, преследующие только учебную цель и направленные только на прохождение FTP траффика (активный FTP). Вот эти правила (lnc1 - внутренняя сеть,IP 10.10.0.2; lnc0 - внешняя,IP 192.168.124.2):<br><br>00002 allow log ip from any to any via lnc1<br>00003 allow ip from any to any via lo0<br>00100 divert 8668 ip from any to any in via lnc0<br>00101 check-state<br>00120 skipto 500 udp from any to any dst-port 53 out via lnc0 keep-state<br>#правило для управляющего соединения FTP<br>00125 skipto 500 tcp from any to any dst-port 21 out via lnc0 setup keep-state<br># Логика следующего правила верна, ибо клиент подключился к ftp:21, далее пользователь <br># вводит команду, например ls (dir), клиент выдал команду PORT A,B,C,D,E,F. Сервер FTP<br># выполняет подключение к клиенту со своего порта 20 на порт E*256+F клиента. Keep-state <br># запомнит правило в обоих направлениях https://slinkov.ru/openforum/vsluhforumID1/79023.html#3 Wed, 02 Apr 2008 17:00:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;я сделал следующим образом: <br>&gt;&gt;allow all from (IP для которого организуем доступ) to any <br>&gt;&gt;allow all from any to (IP для которого организуем доступ) <br>&gt;&gt;таким образом мы организуем полный доступ для определенного адреса через наш шлюз. <br>&gt;&gt;Эти правила должны находиться перед последним правилом, но после всех остальных. <br>&gt;&gt;<br>&gt;&gt;deny all from any to any <br>&gt;&gt;вот таким образом все работает. <br>&gt;&gt;Если что то не так раскажите как можно по другому это организовать... <br>&gt;&gt;<br><br>Извините, не стал разбираться в ваших правилах. Скажу только суть.<br>дожны быть открыты порты 20,21,1025-65535 на выход с внешнего ip<br>затем на вход с 21,20 на ip локальный<br>а также открыты пустые порты 1025-65535 на локальный ip<br>xl0 -внутренний инт<br>rl0 - внешний инт<br>ipfw add 400 allow ip from &lt;локальная сеть/маска&gt; to any in recv xl0<br>ipfw add 410 allow ip from any to &lt;локальная сеть/маска&gt; out xmit xl0<br><br>ipfw add 600 divert 8668 ip from &lt;локальная сеть/маска&gt; to any out xmit rl0<br>ipfw add 610 divert 8668 ip fr https://slinkov.ru/openforum/vsluhforumID1/79023.html#2 Mon, 03 Mar 2008 07:04:21 GMT &gt;после этого правила все остальные строки безполезны т.к. идет проверка по ip протаколу в &gt;соответствии с правилами у тебя сказанно что если не под одно правило не по падает то мы &gt;все остальное запрещаем проверка дальше проводиться не будет!<br><br>Все работает, т.к. <br>00120 skipto 500 udp from any to any dst-port 53 out via lnc0 keep-state<br>..<br>00125 skipto 500 tcp from any to any dst-port 21 out via lnc0 setup keep-state<br>т.е. срабатывает skipto, перекидывающее обработку правил на правило &#8470;500.<br>Подробнее такой тип записи правил описан http://www.lissyara.su/?id=1356<br><br>Вопрос в другом: фаервол не блокирует записи (смотрим лог /var/log/security), однако идет затык на уровне протокола FTP, сделано предположение, что фаервол маршрутизирует входящие пакеты не по той таблице состояний, как ожидаю. Объясните, в чем загвоздка.<br><br>&gt;[оверквотинг удален]<br>&gt;я сделал следующим образом: <br>&gt;allow all from (IP для которого организуем доступ) to any <br>&gt;allow all from any to (IP для которого организуем доступ) <br>&gt;таким https://slinkov.ru/openforum/vsluhforumID1/79023.html#1 Mon, 03 Mar 2008 06:37:39 GMT &gt;[оверквотинг удален]<br>&gt;# вводит команду, например ls (dir), клиент выдал команду PORT A,B,C,D,E,F. Сервер <br>&gt;FTP <br>&gt;# выполняет подключение к клиенту со своего порта 20 на порт E*256+F <br>&gt;клиента. Keep-state <br>&gt;# запомнит правило в обоих направлениях, так что подключения клиента с портом <br>&gt;(E*256+F) <br>&gt;# на порт сервера 20 будут самим собой разумеющимся явлением. <br>&gt;00310 allow tcp from any 20 to any in via lnc0 keep-state <br>&gt;<br>&gt;00450 deny log ip from any to any<br><br>после этого правила все остальные строки безполезны т.к. идет проверка по ip протаколу в соответствии с правилами у тебя сказанно что если не под одно правило не по падает то мы все остальное запрещаем проверка дальше проводиться не будет! <br><br>&gt;00500 divert 8668 ip from any to any out via lnc0 <br>&gt;00510 allow ip from any to any <br>&gt;65535 allow ip from any to any <br><br>теперь, по поводу keep-state вообщем это у меня не заработало в связки IPFW+NAT ну покрайней мере у меня не получилось грамотно все организовать.<br>я сделал следующим образом:<br>allow all