>>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw >>>>>входящие закрыты кроме белого списка (21,22,80) >>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы? >>>>> >>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak. >>>>>а как в FreeBSD решается такая проблема? >>>> >>> >>>https://www.opennet.ru/openforum/vsluhforumID1/56219.html >>>ну это же не выход. а если клиент откроет на 3333 порту >>>демон свой? pure-ftp его уже не вышибет - способ по крайней >>>мере не надежный! >> >>какой клиент? это что, на боевом сервере интерактивные клиенты?! >не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты" > >клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую >нечисть типа bindshell'ов. >> >>>lavr: а что за параноид режим? >> >>это когда всем портам >1024 делают ipfw deny >это нормальный подход в условиях шаред хостинга. >я еще в первом посте написал, что именно все остальные порты закрыты > >(>1024 в том числе) >> >это и >>>в rc.firewall нашел только: >> >>дык это обычные шаблоны, ну кроме open, те как пример >> >>># open - will allow anyone >>>in >>># client - will try to protect just >>>this machine >>># simple - will try to protect a >>>whole network >>># closed - totally disables IP services except >>>via lo0 interface >>># UNKNOWN - disables the loading of firewall rules. >>> >>># filename - will load the rules in the given >>>filename (full path required) > > >Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20 >одновременных подключений к фтп + нельзя открывать дополнительные порты" >Я не прав? Может так? ${fwcmd} add pass tcp from any to any 20 ${fwcmd} add pass tcp from any 20 to any ${fwcmd} add pass tcp from any to any 21 ${fwcmd} add pass tcp from any 21 to any ${fwcmd} add pass tcp from any to ${myip} 49152-65535 ${fwcmd} add pass tcp from ${myip} 49152-65535 to any OS FreeBSD 4.11-RELEASE-p11 Штатный FTP
|