FreeBSD, FTP forwarding, помогите!!!

[ Версия для печати ]
Добавить в Facebook Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
Гонорея
14.07.2006 - 17:16
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

0
1. Есть сервак под FreeBsd 5.4, на нём поднят ФТП-демон, но места на харде мало. У него внешний айпишник, и через второй сетевой интерфейс он прокси на внутреннюю сетку.
2. Есть сервак под маздаем, на нём поднят ФТП-демон, места много, внутри локалки он пашет.

Нужно: чтобы сервер, поднятый на маздайной локальной тачке, был доступен как ftp://<внешний_ip>/
То есть нужно чтобы весь трафик сервер со своего интернетовского 21 порта перенаправлял на соседнюю локальную тачку, 21 порт.

Прописал в ipfw:
ipfw add fwd <local_ip>,21 tcp from any to <внешний_ip> dst-port 21
Всё равно подсовывает мне своего демона.
Через NAT писал:
natd -redirect_port tcp <local_ip>:21 21
шлет меня нафиг: aliasing address not given
natd -redirect_port tcp <local_ip>:21 -a <внешний_ip> 21
шлет меня снова нафиг: missing public port

Помогите настроить систему, плиз!
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
Гонорея
14.07.2006 - 21:03
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

ЗЫ. редирект 20 порта (ftp-data) так же вываливается с той же мотивацией.
[^]
Вездеход
14.07.2006 - 21:17
0
Статус: Offline


Ярила

Регистрация: 28.11.05
Сообщений: 1229
не згибай мозги, самбой с фрюхи подцепи и никаких проблем

нечего сказать так молчи, следующее действие - лимит © toper
 
[^]
Гонорея
15.07.2006 - 09:41
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

Мулька в том, что там внутри полста юзверей, и снова им аккаунты прописывать на внешней тачке я просто заипусь.
[^]
Гонорея
17.07.2006 - 06:54
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

Цитата
нечего сказать так молчи, следующее действие - лимит © toper

Да не, место на харде подклеивать - это даже более правильно, но лень, очень лень.
[^]
StealtH
17.07.2006 - 13:46
0
Статус: Offline


Йобнутый сисодмин

Регистрация: 28.09.04
Сообщений: 1776
Цитата (Вездеход @ 14.07.2006 - 22:17)
не згибай мозги, самбой с фрюхи подцепи и никаких проблем

нечего сказать так молчи, следующее действие - лимит © toper

agree.gif

Код

mount -t smbfs -o username=ftpddemon,password=megasecretpass -I 192.168.1.100 (или адресов твоего сервака во внутреней сетке) //SERVER_SO_SVOBODNYM_VINTOM/FTPROOT /var/spool/ftp/public


это в любом случае более более удобнее чем отправлять пакеты на внутрений сервак, темболее шо если у тебя внешний фтп-сервер публичный и там скорее всего есть такая запись как anonymous, то спрашивается, нахуй тебе этот анонимус для всего инета во внешней сетке, хуйивознаит шо он тебе туда зальет, а так ты просто расшареный винт примонтируешь к серваку и забудешь о своих траблах с винтом
 
[^]
StealtH
17.07.2006 - 15:00
0
Статус: Offline


Йобнутый сисодмин

Регистрация: 28.09.04
Сообщений: 1776
Цитата (Гонорея @ 14.07.2006 - 18:16)
Через NAT писал:
natd -redirect_port tcp <local_ip>:21 21
шлет меня нафиг: aliasing address not given
natd -redirect_port tcp <local_ip>:21 -a <внешний_ip> 21

http://freebsd.org.ru/handbook/natd.html

там на самом последнем абзаце, в самом конце последнее предложение, почитай внимательно deal.gif

Добавлено в 15:07
Кстати ты внимательно сначала почитай man 8 natd и проверь какие опции у тебя в ядре скомпилены чтобы подымать алиасы и форвардинг, по умолчанию в ядре таковых нету
 
[^]
Вездеход
18.07.2006 - 00:18
0
Статус: Offline


Ярила

Регистрация: 28.11.05
Сообщений: 1229
toper
что я не так сказал?
 
[^]
Гонорея
18.07.2006 - 17:42
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

Ага, нашел, в rc.conf прописал альяс ifconfig_em0_alias0=...
и парой строчек ниже natd_flags=... (по образу и подобию еще одного внешнего айпишника для локальной тачки)
Щас народ свалит, ребутну её...
[^]
Гонорея
18.07.2006 - 19:52
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

Эврика!!! Стелс, ты когда в Москве будешь? С меня пиво!

rc.conf:
+
ifconfig_em0_alias2="inet <out_ip> netmask 255.255.255.255"
+
natd_flags="-redirect_address 172.16.<local ftp-server> <out_ip>"

rc.firewall:
+
${fwcmd} add pass tcp from any to ${localftpip} 21 setup
${fwcmd} add pass tcp from any to ${localftpip} 20 setup
[^]
Гонорея
18.07.2006 - 21:41
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

так... пассивмод требует открытые порты 1024-65535.
вопрос по уязвимости: маздай 2003 сервер через эти порты раком ставится?
и какой маздайный фтп-сервак поприличнее будет? пока стоит filezilla 0.9.18
[^]
Вездеход
19.07.2006 - 10:39
0
Статус: Offline


Ярила

Регистрация: 28.11.05
Сообщений: 1229
от так всегда, вроде и первый сказал че делать надо...
 
[^]
fire
19.07.2006 - 10:42
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

pray.gif
я пилят канешна извынять шо пипец за офтоп, dont.gif НО! ибать вы фсе шаманы. pray.gif


ихуле? хватит срать dont.gif
[^]
toper
19.07.2006 - 10:47
0
Статус: Offline


Мы прибыле к вам с миром, таг... пасрать

Регистрация: 17.11.05
Сообщений: 5051
Цитата (Гонорея @ 18.07.2006 - 22:41)
так... пассивмод требует открытые порты 1024-65535.
вопрос по уязвимости: маздай 2003 сервер через эти порты раком ставится?
и какой маздайный фтп-сервак поприличнее будет? пока стоит filezilla 0.9.18

у миня роботает WIN 2003 + Kerio winroute firewall + G6 FTP server - фсё пучком, работают какраз по пасиву
 
[^]
Гонорея
19.07.2006 - 11:47
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

G6 вроде ж платный? Не ломать же, когда опенсорц есть.
[^]
toper
19.07.2006 - 11:54
0
Статус: Offline


Мы прибыле к вам с миром, таг... пасрать

Регистрация: 17.11.05
Сообщений: 5051
Цитата (Гонорея @ 19.07.2006 - 12:47)
G6 вроде ж платный? Не ломать же, когда опенсорц есть.

безлимитное каличиства йузероф навечно 100$ штоли
 
[^]
StealtH
20.07.2006 - 10:14
0
Статус: Offline


Йобнутый сисодмин

Регистрация: 28.09.04
Сообщений: 1776
Цитата (Гонорея @ 18.07.2006 - 20:52)
Эврика!!! Стелс, ты когда в Москве будешь? С меня пиво!

rc.conf:
+
ifconfig_em0_alias2="inet <out_ip> netmask 255.255.255.255"
+
natd_flags="-redirect_address 172.16.<local ftp-server> <out_ip>"

rc.firewall:
+
${fwcmd} add pass tcp from any to ${localftpip} 21 setup
${fwcmd} add pass tcp from any to ${localftpip} 20 setup

Я уже в Маскву баюсь приезжать, стока народу пЫва абищают, аж за здаровье страшно

Цитата
так... пассивмод требует открытые порты 1024-65535.
вопрос по уязвимости: маздай 2003 сервер через эти порты раком ставится?


а тебе кстати нечего боятся этих открытых портов, потому как по ним данные идут с флагом ESTABLISHED,RELATED что само по себе означает что идет ответ на запрос, поэтому файрвол должен пропускать, у меня таким образом реализован внешний фарвол, так по сути все порты закрыты, но если соединение установитсо то сразуже открывает порт.

Каким боком тебе настроить виндовый файрвол я не знаю, ибо на такой изврат как настройка виндовых файрволов я не способен, но реально 2003 сервак оставлять с открытыми портами - пиздетс полный
 
[^]
toper
20.07.2006 - 10:25
0
Статус: Offline


Мы прибыле к вам с миром, таг... пасрать

Регистрация: 17.11.05
Сообщений: 5051
ну как, закрываеш все порты и тока одному приложению - фтп серваку - разрешаешь доступ по портам
 
[^]
Гонорея
20.07.2006 - 11:40
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

Ых.

+ pass tcp from any to ${localftpip} 20,21 setup
+ pass tcp from any to ${localftpip} 1024-65536 established

Типа по служебным портам можно только на прогу-фтпсервак продолбиться и максимум его доснуть, а по остальным пускать только с флагом.
Хотя в произвольном пакете этот бит выставить разве что минет-эксплорер не умеет, отсюда мораль - а какая в жопу разница? На машине все равно крутится фтп с 4 фильмами, да проект seti@home.

Был такой файрволл, @guard, замечательно работал с модемом под любой виндой, и с ланом под 2000, только вот беда - под ХР(2) режет нещадно http-ответы. Половина страниц на произвольном месте "заканчиваются", и помогает только F5, да и то не с первого раза. Соответственно ни одна закачка через http успешно не завершается. Хрен знает, мож он по умолчанию мочит frag-пакеты, а маздай их упорно заказывает?
[^]
Гонорея
20.07.2006 - 17:54
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

Эх, что-то не ставится бит установленности соединения на фтп-пассив.
Хер с ним, поставлю файр на разрешенные маздайные приложения. Керио типа лучше, да?
[^]
toper
20.07.2006 - 17:57
0
Статус: Offline


Мы прибыле к вам с миром, таг... пасрать

Регистрация: 17.11.05
Сообщений: 5051
Цитата (Гонорея @ 20.07.2006 - 18:54)
Эх, что-то не ставится бит установленности соединения на фтп-пассив.
Хер с ним, поставлю файр на разрешенные маздайные приложения. Керио типа лучше, да?

просто ису яибал настраивать - весь мозг выибеш пака настроиш, а керио я буквально незная о нём ничиво\ниюзав ниразу поднял за пару часов шоб работало, а патом ужо настраивал всякие мелкие нюансы
 
[^]
Гонорея
20.07.2006 - 19:38
0
Статус: Online


Гость


Главное: Регистрация
Вопросы: Помощь
Важное: Правила
Сообщения: Поиск

Нихт! Фтопку чо-та кроме фрюшного ipfw (алло 20,21,1024-65535)! Пущай пидорасы ломають, все равно все в логи пишецо на проксе. Хоть маздай злосраный научусь в рот ибать бес приминения галавнога мозга.
Усем пига, остальным спасиба!
ЗЫ
Вездеход, а знаешь чо не так? А мулька в том что когда кто-то заипался, то давать ему не рыбу, но удочку.
Типа, напоминание что ман есть и в нем написано конкретно про твой случай.
Хоть и все маны *никсовые отличаются полным описанием рабочей ситуации, и ни буквы про дохлые/проблемные ситуации.
[^]
Вездеход
21.07.2006 - 00:34
0
Статус: Offline


Ярила

Регистрация: 28.11.05
Сообщений: 1229
Гонорея
Цитата
Вездеход, а знаешь чо не так? А мулька в том что когда кто-то заипался, то давать ему не рыбу, но удочку.
Типа, напоминание что ман есть и в нем написано конкретно про твой случай.
Хоть и все маны *никсовые отличаются полным описанием рабочей ситуации, и ни буквы про дохлые/проблемные ситуации.

я направил на путь правильный, я сам давно под никсами не сижу и ипал я все эти ipfw и прочее...
 
[^]
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 2770
0 Пользователей:
[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы








Наверх