Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
ftp
 
Открыл в фаерволе порты 21,23, но при попытке соединения с ftp сервером выползает ошибка "команда PORT не выполнена". Чего не хватает?
 
открой ftp-data     20/tcp
 
Открыть еще несколько тысяч портов :) или не юзать PASV  
режим...  

да и 20 порт еще открыть
 
а не проще разрешить все соединения с состоянием RELATED, ESTABLISHED и --sport 20 ?
 
извиняюсь, 20 порт тоже открыт был... но не работает
при подключении в пассивном режиме таже ошибка
 
Посмотри логи фааервола чего он там наблокировал
касаемо твоего вопроса...
 
мож просто ftp клиент глючит?
 
пробовал и через браузер...
 
Ну а без FW то все работает я как понимаю ?
Если да то посмотри tcpdumpом по каким портам он
пытается слать...
 
проверь работу ftp без файервола
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
а с чего вы взяли что у меня iptables???
 
Да не суть важно что у тебя, просто я еще 2 поста назад  
спросил все ли нормально работает у тя без FW ответа не  
последовало вот rav3n и решил подсобить тебе с очисткой
правил FW   
 
конечно, работает нормально.
Я тут в нете покоплся и вот что нашел:
Старый грустный FTP
Оглавление:
Ftp через NAT: ftp-proxy
Ftp через pf с маршрутизируемыми адресами: ftpsesame
В списке разрешенных портов мы можем увидеть порты протокола передачи файлов FTP. Этот протокол очень стар и полон загадок, которые вызывают массу проблем, в том числе и с безопасностью. Ключевыми проблемами использования этого протокола:
Пароль передается открытым текстом
Протокол требует создания не менее двух tcp подключений(для управления и данных) на разных портах
Когда сеанс установлен, данные передаются через порты, выбранные наугад
Эти факторы осложняют построение системы сетевой защиты и вызывают проблемы при функционировании системы.

В настоящее время существуют более безопасные и удобные протоколы передачи файлов, такие как sftp или scp, которые обеспечивают идентификацию и передачу данных через зашифрованные соединения. Настоящие профессионалы IT должны предпочесть что-либо отличное от ftp.

Независимо от нашего профессионализма и предпочтения, мы знаем, что сталкиваться с этим протоколом нам придется неоднократно. В этом случае наша задача состоит в переадресации этого типа трафика специализированной программе, написанной для этой цели.
Ftp через NAT: ftp-proxy
ftp-proxy является частью базовой системы OpenBSD и других систем, содержащих PF. Обычно она вызывается "супер-сервером" inetd через конфигурацию /etc/inetd.conf. Приведенная ниже строка запустит ftp-proxy при работе NAT на кольцевом интерфейсе lo0:


127.0.0.1:8021 stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy -n
Эта строка находится по умолчанию в вашем inetd.conf, но она прокомментирована символом # в начале строки. Для того, чтобы изменения вступили в силу, перезапустите сервис inetd. На *BSD дистрибутивах это делается командой:


FreeBSD$ sudo /etc/rc.d/inetd restart
или аналогичной. Если вы не уверены, то обратитесь к man 8 inetd. В OpenBSD можно сделать таким образом:


OpenBSD$ sudo kill -HUP cat /var/run/inetd.pid
С этого момента inetd выполняется с новыми параметрами настройки.

Теперь разберем реальный случай перенаправления. Правила перенаправления и NAT относятся к одному классу. На эти правила можно сослаться непосредственно другими правилами, и фильтрующие правила могут зависеть от этих правил. Логически, rdr и правила NAT должен быть определен перед правилами фильтрации.

Мы вставляем наше правило rdr сразу после правила NAT в нашем /etc/pf.conf:


rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 \
         port 8021
Также необходимо добавить правило, разрешающее прохождение перенаправленного трафика:


pass in on $ext_if inet proto tcp from port ftp-data to ($ext_if) \
    user proxy flags S/SA keep state
Сохраним pf.conf и загрузим новые правила:


$ sudo pfctl -f /etc/pf.conf
После таких вот нехитрых действий ftp должен прекрасно работать.

Этот пример предполагает, что Вы используете трансляцию сетевых адресов (Network Address Translation) на шлюзе и внутри локальной сети используете адреса из диапазона частных сетей.


Но так тоже не работает.
 
2Banton:
Значит так, чтобы ответить на Твой вопрос нужно знать как минимум:
1. Какая операционка и ее версия?
2. Какой FTP-сервер используется и какой версии?
3. Какой используется фаер?

Для начала следует сказать, что 23 порт - это Telnet. К активному FTP относиться 21 incoming и 20 outgoing, к пассивному относиться 21 incoming и 1025-65535 incoming.
Соответственно проброс пассивного через нат/фаер (опять же что там у Тебя?) можно сделать как минимум неск способами:
1. Интеллектуальный фаер/нат открывает/пробрасывает динамически создаваемые порты (распознаются в протоколе FTP).
2. Открывается неск десятков/сотен портов в верхнем диапазоне и в конфиге FTPшника задаешь нижний и верхний предел портов (например pasv_min_port и pasv_max_port для vsftpd). Этот способ мне более близок к сердцу.
 
1. FreeBSD 5.3
2. Я пытаюсь пропустить траффик из локалки/ в локалку через фаер.
3. PF
 
NAT есть? ftp -p работает?
 
См. логи pf, что он блокирует
ну и настройки pf в студию...
 
Вот pf.conf (настройки, как видно, минимальны):

ext_if="rl0"
int_if="ed0"
lan_net="192.168.0.0/24"
serv_tcp="{110, 25, 443, 5190, 4000, www, 20,21,22,23, imaps, domain}";
serv_udp="{domain, 5190,4000}";
nat on $ext_if from $lan_net to any -> $ext_if
block all
pass in on $int_if proto tcp from $lan_net to any port $serv_tcp keep state
pass in on $int_if proto tcp from $lan_net to any port $serv_udp keep state
pass out on $ext_if all
 
Вот конфиг. Какие будут предложения???
 
Кхе... Что-то у Тебя явно не то...

Это и является причиной всех Твоих проблем с named и теперь ftp, на самом деле думаю проблем на много больше. Проще переписать все с читого листа, только я так и не пойму что Ты хотел реализовать...
Страницы: 1 2 След.
Читают тему