https://www.opennet.dev/openforum/vsluhforumID10/4063.html Задача - разрешить из локалки доступ к любым ftp серверам через freebsd сервер с pf.<br>как я понимаю, активный ftp отпадает сразу - на файрволле не сильно хочу открывать разрешения входящих соединений.<br><br>Остановился на пассивном ftp, все работает только при добавлении в pf двух правил:<br>pass quick on $int_if proto tcp from $network port &gt;=1024 to any port { 20, 21, &gt;=1024 } keep state (max-src-conn 100, max-src-conn-rate 15/5)<br><br>pass out quick on $ext_if0 proto tcp from ($ext_if0) port &gt;1024 to any port &gt;1024 keep state<br>где $int_if - сетевуха смотрит в локалку, $network -локалка типа 192.168.1.0/24, $ext_if0 = tun0 - инет, <br><br>как я понимаю это не есть гуд, потому что для локалки разрешается хождение на все "верхние" порты, т.е. использование сторонних прокси-серверов, лишних сервисов и т.п.<br>Как по другому настроить pf для ftp - yt не представляю (из описания протокола) может я что-то упустил, или имеет смысл реализовать систему как-то по другому? Поделитесь опытом, кто сталкивался с проблемой, пож. Заран https://www.opennet.dev/openforum/vsluhforumID10/4063.html#10 Tue, 06 Oct 2009 05:35:12 GMT Удалось ли Вам решить проблему? <br>Столкнулся с аналогичной. Подскажите как Вы решили ее? <br>Блока ниже мне не хватило.<br><br>&gt;[оверквотинг удален]<br>&gt;в rc.conf<br>&gt;ftpproxy_enable="YES"<br>&gt;ftpproxy_flags="-v -D 7"<br>&gt;<br>&gt;в pf.conf<br>&gt;rdr-anchor "ftp-proxy/*"<br>&gt;rdr on $int_if proto tcp from &lt;ftpuser&gt; to !(self) port ftp -&gt; 127.0.0.1 port 8021<br>&gt;anchor "ftp-proxy/*"<br>&gt;<br>&gt;ftp-proxy сам будет создавать правила для входящих.<br><br>Спасибо<br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#9 Mon, 01 Dec 2008 08:01:09 GMT &gt;на 7.0+ есть ftp-proxy <br>&gt;в rc.conf <br>&gt;ftpproxy_enable="YES" <br>&gt;ftpproxy_flags="-v -D 7" <br>&gt;http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#p...<br><br>Спасибо, попробую сделать. Мне кажется это лучший вариант из всего того, что я видел.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#8 Mon, 01 Dec 2008 07:41:57 GMT &gt;&gt;ftp-proxy настраиваем для пассивного FTP <br>&gt;<br>&gt;http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#pf-ftp <br><br>Спасибо, попробую сделать. Мне кажется это лучший вариант из всего того, что я видел<br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#7 Thu, 27 Nov 2008 19:17:47 GMT &gt;&gt;&gt;Без анализа данных такое нереализуемо, так как в обоих случаях номер дополнительного <br>&gt;&gt;&gt;порта передается в данных самого ftp протокола, а не tcp/ip. Для <br>&gt;&gt;&gt;iptables есть(или были) модули для анализа ftp соединений, которые позволяли добавлять <br>&gt;&gt;&gt;разрешающие правила на лету. Может и для pf есть подобное. <br>&gt;&gt;<br>&gt;&gt;в pf такого помоему нет. <br>&gt;&gt;<br>&gt;&gt;http://dreamcatcher.ru/index.php?option=com_content&task=view&id=69&Itemid=5 <br>&gt;<br>&gt;ftp-proxy настраиваем для пассивного FTP <br><br>http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#pf-ftp<br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#6 Wed, 26 Nov 2008 22:50:38 GMT &gt;&gt;Без анализа данных такое нереализуемо, так как в обоих случаях номер дополнительного <br>&gt;&gt;порта передается в данных самого ftp протокола, а не tcp/ip. Для <br>&gt;&gt;iptables есть(или были) модули для анализа ftp соединений, которые позволяли добавлять <br>&gt;&gt;разрешающие правила на лету. Может и для pf есть подобное. <br>&gt;<br>&gt;в pf такого помоему нет. <br>&gt;<br>&gt;http://dreamcatcher.ru/index.php?option=com_content&task=view&id=69&Itemid=5 <br><br>ftp-proxy настраиваем для пассивного FTP<br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#5 Tue, 25 Nov 2008 07:50:27 GMT &gt;Без анализа данных такое нереализуемо, так как в обоих случаях номер дополнительного <br>&gt;порта передается в данных самого ftp протокола, а не tcp/ip. Для <br>&gt;iptables есть(или были) модули для анализа ftp соединений, которые позволяли добавлять <br>&gt;разрешающие правила на лету. Может и для pf есть подобное. <br><br>в pf такого помоему нет.<br><br>http://dreamcatcher.ru/index.php?option=com_content&task=view&id=69&Itemid=5<br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#4 Mon, 24 Nov 2008 14:37:39 GMT Без анализа данных такое нереализуемо, так как в обоих случаях номер дополнительного порта передается в данных самого ftp протокола, а не tcp/ip. Для iptables есть(или были) модули для анализа ftp соединений, которые позволяли добавлять разрешающие правила на лету. Может и для pf есть подобное.<br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#3 Mon, 24 Nov 2008 14:18:02 GMT &gt;Задача - разрешить из локалки доступ к любым ftp серверам через freebsd <br>&gt;сервер с pf. <br>&gt;как я понимаю, активный ftp отпадает сразу - на файрволле не сильно <br>&gt;хочу открывать разрешения входящих соединений. <br>&gt;<br><br>на 7.0+ есть ftp-proxy<br>в rc.conf<br>ftpproxy_enable="YES"<br>ftpproxy_flags="-v -D 7"<br><br>в pf.conf<br>rdr-anchor "ftp-proxy/*"<br>rdr on $int_if proto tcp from &lt;ftpuser&gt; to !(self) port ftp -&gt; 127.0.0.1 port 8021<br>anchor "ftp-proxy/*"<br><br>ftp-proxy сам будет создавать правила для входящих.<br><br>для 6.0+ чуть больше правил, <br>в pf.conf<br>rdr on $int_if proto tcp from &lt;ftpuser&gt; to !(self) port ftp -&gt; 127.0.0.1 port 8021<br>pass in quick on $ext_if inet proto tcp from port ftp-data to $ext_if user proxy flags S/SA keep state<br>и в inetd.conf<br>ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy<br>и в в rc.conf<br>inetd_enable="YES"<br><br>&lt;ftpuser&gt; - список IP кому разрешено ходить по ftp<br>в обоих случаях !(self) - на случай ftp на самом шлюзе<br> https://www.opennet.dev/openforum/vsluhforumID10/4063.html#2 Mon, 24 Nov 2008 13:43:43 GMT <br>&gt;разрешите только на 20 и 21 порты <br><br>не, так работать не будет - оно завяз&#1110;вается, но на стопается "Команда PORT не выполнена"<br>Как я понимаю, в пассивном режиме соединение для передачи данных выставляется по верхним портам<br>