Re: [FUG-BR] ftp-proxy + ipfw + nat
Em 19 de outubro de 2010 23:45, Cleber Araujo clebersisi...@gmail.com escreveu: Olá, boa noite Marcelo! Pelo que ví, aparentemente o problema se deve ao duplo sistema de filtragem. Embora muitos colegas daqui da lista consigam utilizar os dois, eu já apanhei bastante e só deu certo quando eu usava o PF ou o IPFW. Isso se deve a muitos fatores, como exemplo se eles são default deny, qual starta primeiro no kernel, etc... mas enfim isso é outra discurssão. O que lhe aconselho é utilizar apenas uma das ferramentas, nem que seja apenas para teste. Por exemplo: 1 - caso opte pelo IPFW basta adicionar a regra: ipfw add allow tcp from any to me to 21,8021 setup keep-state Comentário: não esqueça do setup (que faz a checagem das flags) e o keep-state (que mantem os estados da conexão) 2 - Caso opte pelo PF (que é indiscutivelmente melhor que o IPFW), adicione a regra: pass in on suaplacaderede proto tcp from any to localhost port 21,8021 Comentário: a opção in sinaliza que a conexão está entrando no firewall e neste caso não é necessário fazer checagem das flags ou ativar os estados com a opção keep state (pois eles já ficam integrados no Kernel). Mas como seguro morreu de velho, se quiser adicione manualmente no final da regra: flags S/SAFR keep state (é sem o hífem mesmo). E claro, como se trata de um servidor toda segurança é necésaria, portanto política block por padrão. Poste os resultados de seus testes. Um grande abraço, -- Cleber Araújo Analista de Suporte II Bacharel em Sistemas de Informação Especializando em Redes de Computadores - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Cleber, Se possível, gostaria que comentasse (que é indiscutivelmente melhor que o IPFW) -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] ftp-proxy + ipfw + nat
Olá pessoal, Dei uma pesquisada aqui na lista sobre isso mas o que encontrei não adiantou então vim recorrer aos universitários rsrsrs O ambiente é esse: uma máquina com FreeBSD 8.1-STABLE rodando um ftp (proftpd), mas esse ftp é só para o desenvolvedor colocar as páginas administrativas aqui do sistema interno. O ftp está conectando e funcionando localmente mas remotamente eu conecto, me logo e na hora do ls devolve os dados mas ao entrar em alguns diretórios os dados param de vir e aí só reconectando. Fiz o seguinte: no /etc/rc.conf: ftpproxy_enable=YES Iniciei o ftp-proxy com: /etc/rc.d/ftp-proxy start Blz e escutando na porta 8021: # sockstat -4l (r...@aldeia2)[/etc]# sockstat -4l USER COMMANDPID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS proxyftp-proxy 21064 3 tcp4 127.0.0.1:8021*:* nobody proftpd19271 0 tcp4 *:21 *:* No /etc/pf.conf meu coloquei: nat-anchor ftp-proxy/* rdr-anchor ftp-proxy/* rdr pass on re2 proto tcp from any to self port ftp - 127.0.0.1 port 8021 Nas minhas regras de ipfw, nessa mesma máquina com ftp, eu liberei o acesso ao ftp assim: $fw add allow tcp from any to me 21,8021 setup keep-state Depois de muitas tentativas e realmente não entendi porque não funcionava, digo, funcionava e depois parava, resolvi fazer de outro jeito que funcionou e foi assim: 1) tirei fora o serviço ftp-proxy. 2) tirei as regras de rdr do pf.conf 3) coloquei a seguinte regra no meu ipfw: $fw add allow tcp from any to me 21,1-65535 setup keep-state Dessa maneira funcionou mas tive que abrir as portas para conexão porque o ftp-proxy não funfou. Alguém consegue me dar uma luz de que caminho seguir ou algum tuto sobre esse assunto? Ou vocês realmente fazem assim como eu fiz? Grande abraço à todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] ftp-proxy + ipfw + nat
Olá, boa noite Marcelo! Pelo que ví, aparentemente o problema se deve ao duplo sistema de filtragem. Embora muitos colegas daqui da lista consigam utilizar os dois, eu já apanhei bastante e só deu certo quando eu usava o PF ou o IPFW. Isso se deve a muitos fatores, como exemplo se eles são default deny, qual starta primeiro no kernel, etc... mas enfim isso é outra discurssão. O que lhe aconselho é utilizar apenas uma das ferramentas, nem que seja apenas para teste. Por exemplo: 1 - caso opte pelo IPFW basta adicionar a regra: ipfw add allow tcp from any to me to 21,8021 setup keep-state Comentário: não esqueça do setup (que faz a checagem das flags) e o keep-state (que mantem os estados da conexão) 2 - Caso opte pelo PF (que é indiscutivelmente melhor que o IPFW), adicione a regra: pass in on suaplacaderede proto tcp from any to localhost port 21,8021 Comentário: a opção in sinaliza que a conexão está entrando no firewall e neste caso não é necessário fazer checagem das flags ou ativar os estados com a opção keep state (pois eles já ficam integrados no Kernel). Mas como seguro morreu de velho, se quiser adicione manualmente no final da regra: flags S/SAFR keep state (é sem o hífem mesmo). E claro, como se trata de um servidor toda segurança é necésaria, portanto política block por padrão. Poste os resultados de seus testes. Um grande abraço, -- Cleber Araújo Analista de Suporte II Bacharel em Sistemas de Informação Especializando em Redes de Computadores - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd