https://opennet.me/openforum/vsluhforumID1/89819.html Есть необходимость указать диапазон портов для ftp-proxy, однако ключи для указания данных параметров отсутствуют на FreeBSD в отличие от OpenBSD. Кто сталкивался, есть обходные пути?<br><br>Кусок из "man ftp-proxy" по OpenBSD:<br><br>2. Activate and configure ftp-proxy<br><br>We now must activate ftp-proxy and configure it. This is done by editing the /etc/inetd.conf file. When needed, ftp-proxy will be summoned by the inetd daemon.ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy -u proxy -m 55000 -M 57000 -t 180<br><br>The -u proxy specifies what user ftp-proxy will run under. Make sure this user exists. <br>The -m 55000 is the lower end of the port range the proxy will use for the data connections it establishes. <br>The -M 57000 is the upper end of the port range the proxy will use for the data connections it establishes. <br>The -t 180 specifies a timeout, in seconds. The proxy will exit and close open connections if it sees no data for the duration of the timeout.<br> https://opennet.me/openforum/vsluhforumID1/89819.html#14 Tue, 21 Sep 2010 09:03:01 GMT &gt;А вы его повесили на внешний интерфейс??? <br><br>Дефолт не менял, просто редирект раньше фильтра отрабатывает, как вы и говорите.<br><br><br> https://opennet.me/openforum/vsluhforumID1/89819.html#13 Tue, 21 Sep 2010 08:50:46 GMT &gt;Ну почему же? :) Все FTP-клиенты, по умолчанию, стучатся на 21 порт. <br>&gt;Разумно предположить, что потом эти пакеты заворачиваются на прокси... <br>&gt;Так вот, если открыть 21 порт, то ftp-proxy в режиме отладки ничего <br>&gt;не фиксирует. <br><br>А вы его повесили на внешний интерфейс???<br>по дефолту он слушает на lo0<br><br>&gt;Получается, что ftp-proxy сразу заворачивает соединения с 21 на 8022 порт, до <br>&gt;того как 21 порт будет запрещен правилами фильтрации.<br><br>rdr работает до pass/block.<br> https://opennet.me/openforum/vsluhforumID1/89819.html#12 Tue, 21 Sep 2010 08:34:25 GMT &gt;&gt;Думал, фильтр ведёт себя по другому. <br>&gt;&gt;Обычно, клиенты подкл. к 21 порту, и, логично предположить, потом происходит внутренняя <br>&gt;&gt;переброска на 8022... но ftp-proxy работает иначе :) <br>&gt;<br>&gt;Кажется Вы чего-то не так поняли))) <br>&gt;Клиет подключается к какому-то порту (21 обычно) на внешнем интерфейсе, правилами файрвола <br>&gt;<br>&gt;его пакеты заворачиваются на прокси, остальное (добавление pass/nat/rdr) для каждого клиента делает <br>&gt;прокси. Т.е. все что от вас требуется это разрешить редирект входящих <br>&gt;ftp пакетов на прокси и разрешить исходящий трафик от прокси.<br><br>Ну почему же? :) Все FTP-клиенты, по умолчанию, стучатся на 21 порт. Разумно предположить, что потом эти пакеты заворачиваются на прокси...<br><br>Так вот, если открыть 21 порт, то ftp-proxy в режиме отладки ничего не фиксирует.<br>Если так, то решил проверить, как он поведет себя при открытии порта, на котором он запущен (8022). После, FTP сразу все заработал.<br><br>Получается, что ftp-proxy сразу заворачивает соединения с 21 на 8022 порт, до того как 21 пор https://opennet.me/openforum/vsluhforumID1/89819.html#11 Tue, 21 Sep 2010 07:37:18 GMT &gt;Думал, фильтр ведёт себя по другому. <br>&gt;Обычно, клиенты подкл. к 21 порту, и, логично предположить, потом происходит внутренняя <br>&gt;переброска на 8022... но ftp-proxy работает иначе :) <br><br>Кажется Вы чего-то не так поняли)))<br>Клиет подключается к какому-то порту (21 обычно) на внешнем интерфейсе, правилами файрвола<br>его пакеты заворачиваются на прокси, остальное (добавление pass/nat/rdr) для каждого клиента делает прокси. Т.е. все что от вас требуется это разрешить редирект входящих ftp пакетов на прокси и разрешить исходящий трафик от прокси.<br> https://opennet.me/openforum/vsluhforumID1/89819.html#10 Tue, 21 Sep 2010 07:19:16 GMT &gt;&gt;&gt;если у вас есть ftp сервер за NAT, то для проброса через <br>&gt;Не будет почему??? <br>&gt;Само собой такого ужаса нет. <br>&gt;&gt;pass in on $ext_if inet proto tcp from any to any port &gt; 1023 \<br>&gt;&gt; flags S/SA keep state<br><br>Спасибо, навели на мысль :)<br>В секции фильтрации достаточно добавить:<br><br>pass in on $ext_if inet proto tcp from any to any port 8022 \<br> flags S/SA keep state<br>anchor "ftp-proxy/*"<br><br>Думал, фильтр ведёт себя по другому. <br>Обычно, клиенты подкл. к 21 порту, и, логично предположить, потом происходит внутренняя переброска на 8022... но ftp-proxy работает иначе :) <br><br> https://opennet.me/openforum/vsluhforumID1/89819.html#9 Mon, 20 Sep 2010 11:30:52 GMT &gt;&gt;если у вас есть ftp сервер за NAT, то для проброса через <br>&gt;&gt;прокси соединений к нему используйте ключик -R. Порты для пассивного режима <br>&gt;&gt;прокси обработает сам распарсив ответ сервера. Ничего лишнего открывать не надо. <br>&gt;&gt;<br>&gt;<br>&gt;Про ключ само собой разумеется, но если не добавить правила в секцию <br>&gt;фильтрации, к серверу за НАТ доступа не будет. <br><br>Не будет почему???<br><br>Вот вам кусочек лога ftp сессии от 1.2.3.4 к хосту 5.6.7.8 на котором прокси пробрасывает запросы за NAT<br>bash-4.0$ sudo /usr/sbin/ftp-proxy/ftp-proxy -D 7 -d -R 192.168.2.101<br>Password:<br>using fixed server 192.168.2.101<br>listening on 127.0.0.1 port 8021<br>#1 accepted connection from 212.65.160.43<br>#1 FTP session 1/100 started: client 1.2.3.4 to server 192.168.2.101 via proxy 192.168.2.1<br>#1 server: 220- smallftpd 1.0.3\r\n<br>...<br>#1 client: PASV\r\n<br>#1 server: 227 Entering Passive Mode (192,168,2,101,19,136) \r\n<br>#1 passive: client to server port 5000 via port 56479<br>#1 proxy: 227 Entering Passive Mode (5,6,7,8,220,159)\r\n<br><br>Само собой https://opennet.me/openforum/vsluhforumID1/89819.html#8 Mon, 20 Sep 2010 08:16:10 GMT &gt;если у вас есть ftp сервер за NAT, то для проброса через <br>&gt;прокси соединений к нему используйте ключик -R. Порты для пассивного режима <br>&gt;прокси обработает сам распарсив ответ сервера. Ничего лишнего открывать не надо. <br>&gt;<br><br>Про ключ само собой разумеется, но если не добавить правила в секцию фильтрации, к серверу за НАТ доступа не будет.<br>Вот пример конфига, где все работает, но открыт очень большой диапазон на вх. соединения.<br><br>#----- Секция нат/радирект -----#<br><br>nat-anchor "ftp-proxy/*"<br>rdr-anchor "ftp-proxy/*"<br>rdr on $ext_if proto tcp from any to any port 21 -&gt; 127.0.0.1 port 8022<br>rdr on $int_if proto tcp from any to any port 21 -&gt; 127.0.0.1 port 8021<br><br><br>#----- Секция фильтра -----#<br><br>pass in on $ext_if inet proto tcp from any to any port 21 \<br> flags S/SA keep state<br>pass in on $ext_if inet proto tcp from any to any port &gt; 1023 \<br> flags S/SA keep state<br>anchor "ftp-proxy/*"<br><br>если есть другие варианты, буду рад посмотреть.<br><br><br> https://opennet.me/openforum/vsluhforumID1/89819.html#7 Sun, 19 Sep 2010 04:58:08 GMT &gt;Предположим, за NAT есть FTP-сервер, настроенный на passive в диапазоне 60100:60150. <br>&gt;Для того чтобы он был доступен извне, логично будет открыть на шлюзе <br>&gt;порты 21 и 60100:60150, но такой способ не даст результата. Т.к. <br>&gt;ftp-proxy не сам сервер, откуда ему знать этот диапазон? Поэтому и <br>&gt;получается, чтобы FTP был доступен извне, открываем всё выше 1023, красота <br>&gt;неописуемая! <br><br>если у вас есть ftp сервер за NAT, то для проброса через прокси соединений к нему используйте ключик -R. Порты для пассивного режима прокси обработает сам распарсив ответ сервера. Ничего лишнего открывать не надо.<br> https://opennet.me/openforum/vsluhforumID1/89819.html#6 Sat, 18 Sep 2010 19:38:24 GMT ...&gt;Вроди и не такая уж и дыра... <br><br>Предположим, за NAT есть FTP-сервер, настроенный на passive в диапазоне 60100:60150. <br>Для того чтобы он был доступен извне, логично будет открыть на шлюзе порты 21 и 60100:60150, но такой способ не даст результата. Т.к. ftp-proxy не сам сервер, откуда ему знать этот диапазон? Поэтому и получается, чтобы FTP был доступен извне, открываем всё выше 1023, красота неописуемая!<br><br><br><br><br>