Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)
-   -   зкщблемма доступа к ftp чз squid ipfw (http://forum.oszone.net/showthread.php?t=160751)

sergey1234567 18-12-2009 18:37 1298737
зкщблемма доступа к ftp чз squid ipfw
 
Вложений: 1
Добый вечер с днём св. Николая всех
проблемма такого рода немогу достучаться до ftp, с нттр поблем никоких с птоковым видео всё впорядке вот ftp проблеммы вот правила.
Спасибо за помощь!

gf100 18-12-2009 20:46 1298831
Попробуй указать для клиента "passive mode".

зы. и исправь название темы, а то попадешь в известную тему форума.

Аlchemist 19-12-2009 22:33 1299602
Цитата:
Цитата gf100
Попробуй указать для клиента "passive mode". »
с таким конфигом не поможет
sergey1234567, про нат слышали? и в каком порядке в ipfw правила обрабатываются?

sergey1234567 21-12-2009 09:36 1300532
нет nat не ставил не указывал в ядре, а можно поподробнй что с правилами не так и что поправить нужно?

Аlchemist 21-12-2009 10:31 1300556
Цитата:
Цитата sergey1234567
что с правилами не так и что поправить нужно? »
попробуйте сами разобраться, я уверен в том, что у вас получится, если вы захотите конечно: http://www.lissyara.su/doc/docs/handbook_-_ipfw/

sergey1234567 21-12-2009 13:58 1300697
Я извиняюсь конечно ну NAT -в данном случае необходим? Дело всё в том что как только я поставил прокси и первый раз настроил настроил ipfw всё отлично работало потом ч.з. 3 месяца я решил ужесточить правила и потерял доступ к ftp. Это както связанно с пассивным и активным режимом ftp?

vadblm 21-12-2009 14:05 1300702
используйте в качестве фтп сервера сервер, умеющий задавать диапазон портов для пассивного режима, например pure-ftpd.
в случае pure-ftpd рисуем в его конфиге строчку
Код:
PassivePortRange          30000 30500 #диапазон портов по необходимости можно расширить
ну и сделать правило типа allow from any to <ftphost> 30000-30500

sergey1234567 21-12-2009 14:11 1300711
Понял ну дело в том что станции у меня на ftp ходят ч.з. squid основное предназначение этой машины - прокси сервер, т.е. мне ненадо иметь на этой машине ftp сервер мне нужно только дать squid доступ к ftp я это зделал следующим правилом
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
ну чтото несрабатывает, предпологаю тут виноват - активный режим может в squid тото подправить могу выложить его конфиг если это нужно?

vadblm 21-12-2009 14:39 1300740
тэкс, начнём с начала, на какой фтп вы не можете попасть - на свой или любой внешний из внутренней подсетки?

sergey1234567 21-12-2009 14:50 1300750
моего ftp на данной машине неустановлено т.к. он мне ненужен, я хочу попать из внутренней сети на внешний ftp по средствам squid, ну ipfw невыпускат squid на внешие ftp:) Вот и вся история. К выше сказанному хочу добавить что - options IPDIVERT я неставил в ядро и хотелбы всё решить без NAT.

vadblm 21-12-2009 14:52 1300753
а ну тогда выше правильно сказали, используйте NAT.

Аlchemist 21-12-2009 14:57 1300760
Это не топик, а квест...
Не зря в названии темы промелькнул squid! :)

sergey1234567, хотите чтобы вам помогли - уважайте тех, у кого вы просите помощи!

Исправьте:
- название темы
- опишите свою сеть и участвующие в процессе серверы
- нормально вывесите скрипт с правилами, текстом, а не файлом в архиве
- опишите проблему и скажите что вы в итоге хотите получить

sergey1234567 21-12-2009 15:19 1300772
Извиняюсь! Просто когда тему создавал - праздник сами понимаете:) а поменять название темы я чото искал, ненашёл (может соэдать поновому?).

#!/bin/sh
oif="re0"
cmd="ipfw -q add"
ipfw -q -f flush
#razreshaem petlu
$cmd 00100 allow all from any to any via lo0
$cmd 00110 deny all from any to 127.0.0.0/8
$cmd 00120 deny all from 127.0.0.0/8 to any
#proverka virtualnih pravil

$cmd 00130 check-state

#zapret sozdanih soedineniy
$cmd 00140 deny all from any to any frag
$cmd 00150 deny tcp from any to any established
# Доступ squid по используемым портам
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
#доступ к DNS
$cmd 00190 allow tcp from any to 192.168.196.3 53 via $oif setup keep-state
$cmd 00195 allow udp from any to 192.168.196.3 53 via $oif keep-state

#Разрешаю доступ из внутренней сети к squid 3128
$cmd 00300 allow tcp from 192.168.196.0/24 to any 3128 in via $oif setup keep-state

gf100 21-12-2009 16:17 1300820
sergey1234567, есть предложение промониторить и выложить здесь результат

> ipfw -a list

сразу будет видно какие правила когда срабатывают.

sergey1234567 21-12-2009 16:52 1300858
До попыки подключения к фтп

00100 0 0 allow ip from any to any via lo0
00110 0 0 deny ip from any to 127.0.0.0/8
00120 0 0 deny ip from 127.0.0.0/8 to any
00130 0 0 check-state
00140 0 0 deny ip from any to any frag
00150 67 62292 deny tcp from any to any established
00185 122 28430 allow tcp from any to any dst-port 80,443,8000 out via re0 setup keep-state
00186 0 0 allow tcp from any to any dst-port 20,21 out via re0 setup keep-state
00190 0 0 allow tcp from any to 192.168.196.3 dst-port 53 via re0 setup keep-state
00195 2 319 allow udp from any to 192.168.196.3 dst-port 53 via re0 keep-state
00300 188 36686 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
65535 91016 8141391 deny ip from any to any

после

00100 0 0 allow ip from any to any via lo0
00110 0 0 deny ip from any to 127.0.0.0/8
00120 0 0 deny ip from 127.0.0.0/8 to any
00130 0 0 check-state
00140 0 0 deny ip from any to any frag
00150 85 65908 deny tcp from any to any established
00185 143 31726 allow tcp from any to any dst-port 80,443,8000 out via re0 setup keep-state
00186 79 5506 allow tcp from any to any dst-port 20,21 out via re0 setup keep-state
00190 0 0 allow tcp from any to 192.168.196.3 dst-port 53 via re0 setup keep-state
00195 6 1081 allow udp from any to 192.168.196.3 dst-port 53 via re0 keep-state
00300 293 50802 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
65535 91264 8163373 deny ip from any to any

ps. ПопробЫвал сделать поподробней т.е. разделил 20 и 21 порты вижу что правило срабатывает только по 21 а по 20 чисто

gf100 21-12-2009 19:51 1301003
sergey1234567, попробуй добавить правило:

65534 allow ip from any to any

если доступ не появится, то проблема, скорее всего, в

00150 deny tcp from any to any established

обычно на это условие ставят разрешающее правило.

Аlchemist 22-12-2009 09:47 1301424
sergey1234567,
Я так и не понял, у вас исходящий трафик проксируется или напрямую выходит?
Цитата:
Цитата gf100
00150 deny tcp from any to any established
обычно на это условие ставят разрешающее правило. »
я обычно делаю его allow и ставлю куда-нибудь в конец списка.

sergey1234567 22-12-2009 10:23 1301445
очень интересно - поменял
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
на
$cmd 00185 allow tcp from any to any out via $oif setup keep-state
и зароботоло, вывод какието порты неуказал?

Аlchemist 22-12-2009 10:37 1301462
Цитата:
Цитата sergey1234567
вывод какието порты неуказал? »
видимо 3128
а вообще log в правило и cat /var/log/security

sergey1234567 22-12-2009 11:02 1301487
ну как же 3128 указал
00300 293 50802 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
иначе как - бы всё остальное работало по этому же порту прокси работает? Или вы имели ввиду наружу - зачем?
А лог сделаю на выходных после нового года - тогда будит время покавырятся а то щас дёргать нехочется. А разобраться очень хочется.

Аlchemist 22-12-2009 11:43 1301511
Цитата:
Цитата sergey1234567
А лог сделаю на выходных после нового года »
Окей, мы подождем! :)

sergey1234567 24-12-2009 12:42 1303281
Это конечно не выход, но открыл 50000-65500 out и ftp заработал? Я конечно это сделал на фанарь tcpdump просниферил подключение и увидел что на этих портах идёт обмен. Подскажите а как правильно организовать связку squid + ipfw шоб ftp пускало?


Время: 01:15.

Время: 01:15.
© OSzone.net 2001-