Доступ к фтп из внутренней сетки
 

Приветствую :)

Ситуация такая: есть БСД-машина с внешним гейтвеем (212.57.*.*) и к одному из её NICов прикручен адрес 192.168.2.177.
На машине запущен фтп-сервис.

Вопрос: как организовать к фтп доступ из сетки 192.168.2.0/24 так, чтобы трафик был ЛОКАЛЬНЫМ?

Благодарю.

Dud:
ответов ровно два:

1. Трафик на "серые" сети (к которым относится 192.168) из инета НЕВОЗМОЖЕН.

2. Многие ftp-серверы можно привязать к конкретному ip адресу и другие ip они слушать не будут.

Для стандартного ftp freebsd это делается так
в /etc/rc.conf пишешь
ftpd_flags= ' -a 192.168.2.177'
и перезапускаешь ftpd (/etc/rc.d/ftpd restart).
Всё.

хех, а что за фтп сервер, чемтраф щитаеца?
профтпд вообще этого не умеет помоему.
всегда слушает на всех доступных интерфейсах
но помойму отвечать как раз будет на том что ближе
если с локалки - то на локальном
если извне то на внешнем

А я вобще не понял задачи, есть комп, есть демон, на компе есть 2 интерфейса - внешний и локальный, как организовать доступ из сетки локальной - куда??? Что бы трафик был локальным - опять же что имелось ввиду?

=) Ы Вообщем я вам расскажу что хочет товарищ)

inet <-> (212.57.*.*) bsd with ftp (192.168.2.0/24) <-> LAN

Так вот товарищ хочет чтобы из LAN траффик до фтп был локальным. Если я все прально понял, то Петросян точно отдыхает. Рассказываю, если запрос пришел из локальной сети(тоесть сорс у него локальный) - нет ни одной причины отправлять его в сеть глобальную. Траффик считает на порту прова(это там где у мя написано inet). Если пакет пришел на 212.57.*.* то в НАТ он тоже заворачиваться не буит(я в этом уверен на 99%, просто ща проверить негде), пакет придет на локаль, посмотрит таблицу маршрутизации и обнаружит что 212.57.*.* доступен без прыжков - это означает что до порта он снова не дойдет.

Вообщем снова вопрос в стиле баян - просто нада почитать про маршрутизацию, в книжках о БСД это 5-10 страниц. Я скоро застрелюсь от таких вопросов

хех, тут не всё так просто. если фтп слушает скажем на 212.57.*.*:21 то из локалки он будет проталкиваться через нат, а если он слушает на всех интерфейсах, то отвечать будет на интерфейсе который ближе.
root pure-ftpd 523 4 tcp4 *:21 *:*
вот например у меня - пюре слушает на всех доступных интерфейсах.
точно так же ведёт себя профтп. как себя ведёт стандартный фтпд - не знаю.

Важно не где слушает демон, а куда отправляется запрос от клиента, если запрос идет на внутренний адрес, то траф будет локальным, а если запрос идет на внешний адрес - то, мля, кривые ручки...

Вобще, если правильно строить безопасность сервера и работающих на нем сервисов, то ftp демон должен слушать только внутренние адреса, а для внешних запросов демон должен паблишиться с помощью файера, с соответствующей фильтрацией по протоколу, дабы отсекать заведомо неправильный траф, + флуд, брутфорс, ДДОС и подобную муть - всем этим должен заниматься файрвол, а не демон, вобщем это ИМХО.

Дык вот если рассматривать приведенный мной вариант, то поидее делать вобще ничего не нужно, потому как уже все сделано и работает. Если же не так - стоит задуматься над структурой и что-то поменять.

Товарищи хватить с*ать в уши) Даже если буит кидаться на внешку через НАТ(в чем я лично сомневаюсь)... Вот скажем пришел пакет, просочился в НАТ, система смотрит а где же у нас такой замечательный ИП.... ОПА, так вот он - на iface таком-то, отрабатывает и ответ назад через НАТ. Или вы хотите сказать, что запрос идет на НАТ, потом уходит на дефаултгейтвай, который его отправляет назад. Вы что???? Курить маны полезно, а вот всякую гадость внутрь заворачивать уже нет :relax:

народ, вот честно, почитал нифига не понял... у машины есть интерфейс даже пускай на него прикручены 2 ипа это неважно абсолютно, главное как роутинг прописан до нужной сетке в обход инет шлюза ... в общем читайте маны как cyberb: советует...

А как роутинг прописан, если они в одной сети находятся... маска 24-я, палюбому адреса все в одной сети... тут как рутинг не прописывай, есть адрес, есть маска, есть другие адреса, попадающие под эту маску.

Да даже если это не в этой сетке, если на другой iface роутера-фтп-сервера... с какого перепуга этот сервер будет пакеты предназначенные ДЛЯ СЕБЯ отправлять в сеть(тоесть на порт на котором они считаться будут)? Развели флуд на тривиальным баяном!!! Я уже говорил, это написано в любой книжке по любой сетевой ОС.

cyberb: а где аффтор собсно говоря... пускай расталковывает общественности, что у него куда зарулино, а то действительно игра на бояне получается...

P.S. - я конечно понимаю, что пофлудить всем хочется но это уже перерастает в обсуждение стека TCP/IP в полном обьеме...

Растолковывать пока нечего. Изучаю pf.

Нужен доступ к фтп снаружи по наружнему адресу и изнутри по внутреннему.

Ну дык а вроде все таки и есть??? Или есть какие-то проблемы?

Чисто мысли вслух :)



<внешн. адр> <--> BSD GW <--> em0 <--> ftp daemon

Соотв. адрес гейтвея внешний, адрес em0 тоже внешний.

Демон слушает на всех ифейсах. Так всё работает.




<внутр. адреса> <--> ?? <--> em0_alias0 <--> ftp daemon

Здесь внутренние адреса -- это диапазон 192.168.2.0/24, алиасу присвоен адрес 192.168.2.177.

Т.е. нужен статик роутинг диапазона на алиас, минуя деф. гейтвей?


static routes "intFTP"
route_intFTP="192.168.2.0/24 192.168.2.177"

Типа такого в rc.conf?