|
|
 04-07-2008, 12:42
|
Ссылка на пост #1 |
|
W&P Team
 W&P Team
 Сообщений: 4,810 На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 26мин. |
Доступ к фтп из внутренней сетки
Приветствую :)
Ситуация такая: есть БСД-машина с внешним гейтвеем (212.57.*.*) и к одному из её NICов прикручен адрес 192.168.2.177. На машине запущен фтп-сервис. Вопрос: как организовать к фтп доступ из сетки 192.168.2.0/24 так, чтобы трафик был ЛОКАЛЬНЫМ? Благодарю. |
 |
|
|
04-07-2008, 12:52
|
Ссылка на пост #2 |
|
W&P Team
Живой человек
 Сообщений: 1,948 На форуме с: 11.03.02
Провел: 1нед. 5д. 11ч. 51мин. |
Dud:
ответов ровно два: 1. Трафик на "серые" сети (к которым относится 192.168) из инета НЕВОЗМОЖЕН. 2. Многие ftp-серверы можно привязать к конкретному ip адресу и другие ip они слушать не будут. Для стандартного ftp freebsd это делается так в /etc/rc.conf пишешь ftpd_flags= ' -a 192.168.2.177' и перезапускаешь ftpd (/etc/rc.d/ftpd restart). Всё. |
|
|
|
|
05-07-2008, 13:57
|
Ссылка на пост #3 | ||
|
Серфер
Сообщений: 26 На форуме с: 25.09.07
Провел: 17ч. 29мин. |
хех, а что за фтп сервер, чемтраф щитаеца?
профтпд вообще этого не умеет помоему. всегда слушает на всех доступных интерфейсах но помойму отвечать как раз будет на том что ближе если с локалки - то на локальном если извне то на внешнем |
||
|
|
|
|
05-07-2008, 14:40
|
Ссылка на пост #4 |
|
W&P Team
фсе поменялось
 Сообщений: 10,250 На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин. |
Цитата: Dud > Приветствую :) А я вобще не понял задачи, есть комп, есть демон, на компе есть 2 интерфейса - внешний и локальный, как организовать доступ из сетки локальной - куда??? Что бы трафик был локальным - опять же что имелось ввиду?Ситуация такая: есть БСД-машина с внешним гейтвеем (212.57.*.*) и к одному из её NICов прикручен адрес 192.168.2.177. На машине запущен фтп-сервис. Вопрос: как организовать к фтп доступ из сетки 192.168.2.0/24 так, чтобы трафик был ЛОКАЛЬНЫМ? Благодарю. |
|
|
|
|
05-07-2008, 15:08
|
Ссылка на пост #5 |
|
Продвинутый серфер
 Продвинутый серфер
Сообщений: 2,405 На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин. |
=) Ы Вообщем я вам расскажу что хочет товарищ)
inet <-> (212.57.*.*) bsd with ftp (192.168.2.0/24) <-> LAN Так вот товарищ хочет чтобы из LAN траффик до фтп был локальным. Если я все прально понял, то Петросян точно отдыхает. Рассказываю, если запрос пришел из локальной сети(тоесть сорс у него локальный) - нет ни одной причины отправлять его в сеть глобальную. Траффик считает на порту прова(это там где у мя написано inet). Если пакет пришел на 212.57.*.* то в НАТ он тоже заворачиваться не буит(я в этом уверен на 99%, просто ща проверить негде), пакет придет на локаль, посмотрит таблицу маршрутизации и обнаружит что 212.57.*.* доступен без прыжков - это означает что до порта он снова не дойдет. Вообщем снова вопрос в стиле баян - просто нада почитать про маршрутизацию, в книжках о БСД это 5-10 страниц. Я скоро застрелюсь от таких вопросов |
|
|
|
|
05-07-2008, 18:49
|
Ссылка на пост #6 | ||
|
Серфер
Сообщений: 26 На форуме с: 25.09.07
Провел: 17ч. 29мин. |
хех, тут не всё так просто. если фтп слушает скажем на 212.57.*.*:21 то из локалки он будет проталкиваться через нат, а если он слушает на всех интерфейсах, то отвечать будет на интерфейсе который ближе.
root pure-ftpd 523 4 tcp4 *:21 *:* вот например у меня - пюре слушает на всех доступных интерфейсах. точно так же ведёт себя профтп. как себя ведёт стандартный фтпд - не знаю. |
||
|
|
|
|
05-07-2008, 19:45
|
Ссылка на пост #7 |
|
W&P Team
фсе поменялось
Сообщений: 10,250 На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин. |
Важно не где слушает демон, а куда отправляется запрос от клиента, если запрос идет на внутренний адрес, то траф будет локальным, а если запрос идет на внешний адрес - то, мля, кривые ручки...
Вобще, если правильно строить безопасность сервера и работающих на нем сервисов, то ftp демон должен слушать только внутренние адреса, а для внешних запросов демон должен паблишиться с помощью файера, с соответствующей фильтрацией по протоколу, дабы отсекать заведомо неправильный траф, + флуд, брутфорс, ДДОС и подобную муть - всем этим должен заниматься файрвол, а не демон, вобщем это ИМХО. Дык вот если рассматривать приведенный мной вариант, то поидее делать вобще ничего не нужно, потому как уже все сделано и работает. Если же не так - стоит задуматься над структурой и что-то поменять. |
|
|
|
|
06-07-2008, 02:26
|
Ссылка на пост #8 |
|
Продвинутый серфер
Продвинутый серфер
Сообщений: 2,405 На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин. |
Товарищи хватить с*ать в уши) Даже если буит кидаться на внешку через НАТ(в чем я лично сомневаюсь)... Вот скажем пришел пакет, просочился в НАТ, система смотрит а где же у нас такой замечательный ИП.... ОПА, так вот он - на iface таком-то, отрабатывает и ответ назад через НАТ. Или вы хотите сказать, что запрос идет на НАТ, потом уходит на дефаултгейтвай, который его отправляет назад. Вы что???? Курить маны полезно, а вот всякую гадость внутрь заворачивать уже нет
 |
|
|
|
|
07-07-2008, 00:24
|
Ссылка на пост #9 |
|
W&P Team
ПесецОтморозок
Сообщений: 1,197 На форуме с: 01.03.03
Провел: 3нед. 2д. 21ч. 48мин. |
народ, вот честно, почитал нифига не понял... у машины есть интерфейс даже пускай на него прикручены 2 ипа это неважно абсолютно, главное как роутинг прописан до нужной сетке в обход инет шлюза ... в общем читайте маны как cyberb: советует...
|
|
|
|
|
07-07-2008, 00:42
|
Ссылка на пост #10 |
|
W&P Team
фсе поменялось
Сообщений: 10,250 На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин. |
А как роутинг прописан, если они в одной сети находятся... маска 24-я, палюбому адреса все в одной сети... тут как рутинг не прописывай, есть адрес, есть маска, есть другие адреса, попадающие под эту маску.
|
|
|
|
|
07-07-2008, 07:39
|
Ссылка на пост #11 |
|
Продвинутый серфер
Продвинутый серфер
Сообщений: 2,405 На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин. |
Да даже если это не в этой сетке, если на другой iface роутера-фтп-сервера... с какого перепуга этот сервер будет пакеты предназначенные ДЛЯ СЕБЯ отправлять в сеть(тоесть на порт на котором они считаться будут)? Развели флуд на тривиальным баяном!!! Я уже говорил, это написано в любой книжке по любой сетевой ОС.
|
|
|
|
|
07-07-2008, 10:52
|
Ссылка на пост #12 |
|
W&P Team
ПесецОтморозок
Сообщений: 1,197 На форуме с: 01.03.03
Провел: 3нед. 2д. 21ч. 48мин. |
cyberb: а где аффтор собсно говоря... пускай расталковывает общественности, что у него куда зарулино, а то действительно игра на бояне получается...
P.S. - я конечно понимаю, что пофлудить всем хочется но это уже перерастает в обсуждение стека TCP/IP в полном обьеме... |
|
|
|
|
07-07-2008, 19:06
|
Ссылка на пост #13 |
|
W&P Team
W&P Team
Сообщений: 4,810 На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 26мин. |
Растолковывать пока нечего. Изучаю pf.
Нужен доступ к фтп снаружи по наружнему адресу и изнутри по внутреннему. |
|
|
|
|
07-07-2008, 20:16
|
Ссылка на пост #14 |
|
W&P Team
фсе поменялось
Сообщений: 10,250 На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин. |
Ну дык а вроде все таки и есть??? Или есть какие-то проблемы?
|
|
|
|
|
08-07-2008, 13:11
|
Ссылка на пост #15 |
|
W&P Team
W&P Team
Сообщений: 4,810 На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 26мин. |
Чисто мысли вслух :)
<внешн. адр> <--> BSD GW <--> em0 <--> ftp daemon Соотв. адрес гейтвея внешний, адрес em0 тоже внешний. Демон слушает на всех ифейсах. Так всё работает. <внутр. адреса> <--> ?? <--> em0_alias0 <--> ftp daemon Здесь внутренние адреса -- это диапазон 192.168.2.0/24, алиасу присвоен адрес 192.168.2.177. Т.е. нужен статик роутинг диапазона на алиас, минуя деф. гейтвей? static routes "intFTP" route_intFTP="192.168.2.0/24 192.168.2.177" Типа такого в rc.conf? |
|
|
|
Линейный вид
