[FUG-BR] Servidor FTP e regras do PF
salve galera! gostaria de um pequeno help. o servidor onde está rodando o PF é o mesmo que roda o ftp, horas eu testo o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes. Notei que, nas regras do pf.conf, quando ativadas, está me causando alguns problemas de conexão, hora autentica, hora não, quando digito a senha, vezes requer que eu aperte F5, e horas me exibe uma mensagem de erro sobre permissão. Mas quando deixo as regras limpas com um pfctl -Fa, tudo funciona como esperado. Estou acompanhando essas explicações, que parece o mais adequado com o que eu preciso http://www.openbsd.org/faq/pf/ftp.html#server e as minhas regras, simples, começa com um block in on $externa e depois as liberações indicadas de FTP conforme está no FAQ Alguém me sugere algum ajuste melhor? -- *ENIO R M* * Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy* *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* * * *Linux: para aqueles que odeiam o Windows.* *BSD: para aqueles que amam o Unix.* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Servidor FTP e regras do PF
Em 2013-02-14 14:46, EnioRM escreveu: salve galera! gostaria de um pequeno help. o servidor onde está rodando o PF é o mesmo que roda o ftp, horas eu testo o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes. Notei que, nas regras do pf.conf, quando ativadas, está me causando alguns problemas de conexão, hora autentica, hora não, quando digito a senha, vezes requer que eu aperte F5, e horas me exibe uma mensagem de erro sobre permissão. Mas quando deixo as regras limpas com um pfctl -Fa, tudo funciona como esperado. Estou acompanhando essas explicações, que parece o mais adequado com o que eu preciso http://www.openbsd.org/faq/pf/ftp.html#server e as minhas regras, simples, começa com um block in on $externa e depois as liberações indicadas de FTP conforme está no FAQ Alguém me sugere algum ajuste melhor? Geralmente o FTP dá problema com o modo passivo. O que você tem que fazer é aceitar a conexão nas portas usadas no modo passivo. Talvez seu software de ftp suporte especificar uma faixa de portas para usar e ela deve estar dentro das sysctl: net.inet.ip.portrange.first=3 net.inet.ip.portrange.last=55000 BTW, o que eu disse acima está dito na FAQ que você enviou especificamente em OpenBSD's native FTP server ftpd(8) uses the range 49152 to 65535, que corrobora com a regra pass in on $ext_if proto tcp to port 49151 -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Servidor FTP e regras do PF
Pessoal, só lembrando também que há tradução em português dessa doc do PF: http://www.openbsd.org/faq/pf/pt/index.html ou direto ao ponto: http://www.openbsd.org/faq/pf/pt/ftp.html Bom pra pelo menos ficar no histórico da lista e avisar os desavisados :) Abs, Carlos E G Carvalho (Cartola) http://cartola.org/360 http://www.panoforum.com.br/ Em 14 de fevereiro de 2013 16:02, vic v...@wa.pro.br escreveu: Em 2013-02-14 14:46, EnioRM escreveu: salve galera! gostaria de um pequeno help. o servidor onde está rodando o PF é o mesmo que roda o ftp, horas eu testo o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes. Notei que, nas regras do pf.conf, quando ativadas, está me causando alguns problemas de conexão, hora autentica, hora não, quando digito a senha, vezes requer que eu aperte F5, e horas me exibe uma mensagem de erro sobre permissão. Mas quando deixo as regras limpas com um pfctl -Fa, tudo funciona como esperado. Estou acompanhando essas explicações, que parece o mais adequado com o que eu preciso http://www.openbsd.org/faq/pf/ftp.html#server e as minhas regras, simples, começa com um block in on $externa e depois as liberações indicadas de FTP conforme está no FAQ Alguém me sugere algum ajuste melhor? Geralmente o FTP dá problema com o modo passivo. O que você tem que fazer é aceitar a conexão nas portas usadas no modo passivo. Talvez seu software de ftp suporte especificar uma faixa de portas para usar e ela deve estar dentro das sysctl: net.inet.ip.portrange.first=3 net.inet.ip.portrange.last=55000 BTW, o que eu disse acima está dito na FAQ que você enviou especificamente em OpenBSD's native FTP server ftpd(8) uses the range 49152 to 65535, que corrobora com a regra pass in on $ext_if proto tcp to port 49151 -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Servidor FTP e regras do PF
vic e Cartola eu acompanho o FAQ do PF e foi de lá que segui as dicas, como você disse vic, fiz de forma parecida pass in quick on $nic_externa inet proto tcp to port 49151 flags S/SAFR porém analisei por último o sysctl indicado, que estava com 1 e alterei a linha porém o erro persiste. Claro, achei um meio que nem sempre resolve 100%, foi justamente configurar (desativar) o modo passivo, tanto no FileZilla e pelo IE, diminuiu a frequencia de erros porém não resolveu, pois não tem como eu controlar os usuários externos para que façam o ajuste. 2013/2/14 Carlos Eduardo G. Carvalho (Cartola) cartol...@gmail.com Pessoal, só lembrando também que há tradução em português dessa doc do PF: http://www.openbsd.org/faq/pf/pt/index.html ou direto ao ponto: http://www.openbsd.org/faq/pf/pt/ftp.html Bom pra pelo menos ficar no histórico da lista e avisar os desavisados :) Abs, Carlos E G Carvalho (Cartola) http://cartola.org/360 http://www.panoforum.com.br/ Em 14 de fevereiro de 2013 16:02, vic v...@wa.pro.br escreveu: Em 2013-02-14 14:46, EnioRM escreveu: salve galera! gostaria de um pequeno help. o servidor onde está rodando o PF é o mesmo que roda o ftp, horas eu testo o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes. Notei que, nas regras do pf.conf, quando ativadas, está me causando alguns problemas de conexão, hora autentica, hora não, quando digito a senha, vezes requer que eu aperte F5, e horas me exibe uma mensagem de erro sobre permissão. Mas quando deixo as regras limpas com um pfctl -Fa, tudo funciona como esperado. Estou acompanhando essas explicações, que parece o mais adequado com o que eu preciso http://www.openbsd.org/faq/pf/ftp.html#server e as minhas regras, simples, começa com um block in on $externa e depois as liberações indicadas de FTP conforme está no FAQ Alguém me sugere algum ajuste melhor? Geralmente o FTP dá problema com o modo passivo. O que você tem que fazer é aceitar a conexão nas portas usadas no modo passivo. Talvez seu software de ftp suporte especificar uma faixa de portas para usar e ela deve estar dentro das sysctl: net.inet.ip.portrange.first=3 net.inet.ip.portrange.last=55000 BTW, o que eu disse acima está dito na FAQ que você enviou especificamente em OpenBSD's native FTP server ftpd(8) uses the range 49152 to 65535, que corrobora com a regra pass in on $ext_if proto tcp to port 49151 -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- *ENIO R M* * Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy* *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* * * *Linux: para aqueles que odeiam o Windows.* *BSD: para aqueles que amam o Unix.* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Servidor FTP e regras do PF
O ftp-proxy está rodando com a flag -R? Em 14 de fevereiro de 2013 16:18, EnioRM eni...@gmail.com escreveu: vic e Cartola eu acompanho o FAQ do PF e foi de lá que segui as dicas, como você disse vic, fiz de forma parecida pass in quick on $nic_externa inet proto tcp to port 49151 flags S/SAFR porém analisei por último o sysctl indicado, que estava com 1 e alterei a linha porém o erro persiste. Claro, achei um meio que nem sempre resolve 100%, foi justamente configurar (desativar) o modo passivo, tanto no FileZilla e pelo IE, diminuiu a frequencia de erros porém não resolveu, pois não tem como eu controlar os usuários externos para que façam o ajuste. 2013/2/14 Carlos Eduardo G. Carvalho (Cartola) cartol...@gmail.com Pessoal, só lembrando também que há tradução em português dessa doc do PF: http://www.openbsd.org/faq/pf/pt/index.html ou direto ao ponto: http://www.openbsd.org/faq/pf/pt/ftp.html Bom pra pelo menos ficar no histórico da lista e avisar os desavisados :) Abs, Carlos E G Carvalho (Cartola) http://cartola.org/360 http://www.panoforum.com.br/ Em 14 de fevereiro de 2013 16:02, vic v...@wa.pro.br escreveu: Em 2013-02-14 14:46, EnioRM escreveu: salve galera! gostaria de um pequeno help. o servidor onde está rodando o PF é o mesmo que roda o ftp, horas eu testo o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes. Notei que, nas regras do pf.conf, quando ativadas, está me causando alguns problemas de conexão, hora autentica, hora não, quando digito a senha, vezes requer que eu aperte F5, e horas me exibe uma mensagem de erro sobre permissão. Mas quando deixo as regras limpas com um pfctl -Fa, tudo funciona como esperado. Estou acompanhando essas explicações, que parece o mais adequado com o que eu preciso http://www.openbsd.org/faq/pf/ftp.html#server e as minhas regras, simples, começa com um block in on $externa e depois as liberações indicadas de FTP conforme está no FAQ Alguém me sugere algum ajuste melhor? Geralmente o FTP dá problema com o modo passivo. O que você tem que fazer é aceitar a conexão nas portas usadas no modo passivo. Talvez seu software de ftp suporte especificar uma faixa de portas para usar e ela deve estar dentro das sysctl: net.inet.ip.portrange.first=3 net.inet.ip.portrange.last=55000 BTW, o que eu disse acima está dito na FAQ que você enviou especificamente em OpenBSD's native FTP server ftpd(8) uses the range 49152 to 65535, que corrobora com a regra pass in on $ext_if proto tcp to port 49151 -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- *ENIO R M* * Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy* *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* * * *Linux: para aqueles que odeiam o Windows.* *BSD: para aqueles que amam o Unix.* - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Servidor FTP e regras do PF
resposta no final :P Em 2013-02-14 16:43, Rodrigo Mosconi escreveu: O ftp-proxy está rodando com a flag -R? Em 14 de fevereiro de 2013 16:18, EnioRM eni...@gmail.com escreveu: vic e Cartola eu acompanho o FAQ do PF e foi de lá que segui as dicas, como você disse vic, fiz de forma parecida pass in quick on $nic_externa inet proto tcp to port 49151 flags S/SAFR porém analisei por último o sysctl indicado, que estava com 1 e alterei a linha porém o erro persiste. Claro, achei um meio que nem sempre resolve 100%, foi justamente configurar (desativar) o modo passivo, tanto no FileZilla e pelo IE, diminuiu a frequencia de erros porém não resolveu, pois não tem como eu controlar os usuários externos para que façam o ajuste. 2013/2/14 Carlos Eduardo G. Carvalho (Cartola) cartol...@gmail.com Pessoal, só lembrando também que há tradução em português dessa doc do PF: http://www.openbsd.org/faq/pf/pt/index.html ou direto ao ponto: http://www.openbsd.org/faq/pf/pt/ftp.html Bom pra pelo menos ficar no histórico da lista e avisar os desavisados :) Abs, Carlos E G Carvalho (Cartola) http://cartola.org/360 http://www.panoforum.com.br/ Em 14 de fevereiro de 2013 16:02, vic v...@wa.pro.br escreveu: Em 2013-02-14 14:46, EnioRM escreveu: salve galera! gostaria de um pequeno help. o servidor onde está rodando o PF é o mesmo que roda o ftp, horas eu testo o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes. Notei que, nas regras do pf.conf, quando ativadas, está me causando alguns problemas de conexão, hora autentica, hora não, quando digito a senha, vezes requer que eu aperte F5, e horas me exibe uma mensagem de erro sobre permissão. Mas quando deixo as regras limpas com um pfctl -Fa, tudo funciona como esperado. Estou acompanhando essas explicações, que parece o mais adequado com o que eu preciso http://www.openbsd.org/faq/pf/ftp.html#server e as minhas regras, simples, começa com um block in on $externa e depois as liberações indicadas de FTP conforme está no FAQ Alguém me sugere algum ajuste melhor? Geralmente o FTP dá problema com o modo passivo. O que você tem que fazer é aceitar a conexão nas portas usadas no modo passivo. Talvez seu software de ftp suporte especificar uma faixa de portas para usar e ela deve estar dentro das sysctl: net.inet.ip.portrange.first=3 net.inet.ip.portrange.last=55000 BTW, o que eu disse acima está dito na FAQ que você enviou especificamente em OpenBSD's native FTP server ftpd(8) uses the range 49152 to 65535, que corrobora com a regra pass in on $ext_if proto tcp to port 49151 -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- *ENIO R M* * Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy* *H**ave a trouble with windows: reboot!* *Have a trouble with unix: be root!* * * *Linux: para aqueles que odeiam o Windows.* *BSD: para aqueles que amam o Unix.* Rodrigo, o uso do ftp-proxy faria sentido se o firewall estivesse fazendo NAT para um servidor FTP, mas nesse caso ele já comentou que o PF e o serviço ftp estão no mesmo host. Enio, vale lembrar que se esse seu servidor estiver atrás de NAT, então no equipamento que faz o NAT deve ter o redirecionamento para as portas passivas. E ainda sobre essas, ratifico que se você estiver usando FreeBSD, atente que apesar a FAQ do PF ser a documentação indicada, não esqueça que existem diferenças entre os sistemas (OpenBSD e FreeBSD), como o OpenBSD usar para porta FTP passiva o indicado na FAQ e o FreeBSD respeitar as sysctl que indiquei e checar qual a configuração do software ftp usado. ps: agora que notei que ao invés de simplesmente colocar a sysctl eu copiei com os valores que uso num servidor aqui :P -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd