Вернуться   W&PBBS > Software > Unix/Linux/BSD > BSD
Имя
Пароль
FAQ Пометить все разделы прочитанными



Ответ
Опции темы
Старый 04-07-2008, 12:42 Ссылка на пост    #1
Dud
W&P Team
W&P Team
 
Dud

На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 1мин.

Доступ к фтп из внутренней сетки

Приветствую :)

Ситуация такая: есть БСД-машина с внешним гейтвеем (212.57.*.*) и к одному из её NICов прикручен адрес 192.168.2.177.
На машине запущен фтп-сервис.

Вопрос: как организовать к фтп доступ из сетки 192.168.2.0/24 так, чтобы трафик был ЛОКАЛЬНЫМ?

Благодарю.
Dud вне форума   Вставить выделенное      Ответить с цитированием
Старый 04-07-2008, 12:52 Ссылка на пост    #2
Smithson
W&P Team
Живой человек
 
Smithson


Сообщений: 1,948
На форуме с: 11.03.02
Провел: 1нед. 5д. 11ч. 51мин.

Dud:
ответов ровно два:

1. Трафик на "серые" сети (к которым относится 192.168) из инета НЕВОЗМОЖЕН.

2. Многие ftp-серверы можно привязать к конкретному ip адресу и другие ip они слушать не будут.

Для стандартного ftp freebsd это делается так
в /etc/rc.conf пишешь
ftpd_flags= ' -a 192.168.2.177'
и перезапускаешь ftpd (/etc/rc.d/ftpd restart).
Всё.
Smithson вне форума   Вставить выделенное Отправить сообщение для  Smithson с помощью ICQ      Ответить с цитированием
Старый 05-07-2008, 13:57 Ссылка на пост    #3
smileenator
Серфер

Нет голосов

Сообщений: 26
На форуме с: 25.09.07
Провел: 17ч. 29мин.

хех, а что за фтп сервер, чемтраф щитаеца?
профтпд вообще этого не умеет помоему.
всегда слушает на всех доступных интерфейсах
но помойму отвечать как раз будет на том что ближе
если с локалки - то на локальном
если извне то на внешнем
smileenator вне форума   Вставить выделенное      Ответить с цитированием
Старый 05-07-2008, 14:40 Ссылка на пост    #4
barabashka
W&P Team
фсе поменялось
 
barabashka


Сообщений: 10,250
На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин.

Цитата: Dud > Приветствую :)

Ситуация такая: есть БСД-машина с внешним гейтвеем (212.57.*.*) и к одному из её NICов прикручен адрес 192.168.2.177.
На машине запущен фтп-сервис.

Вопрос: как организовать к фтп доступ из сетки 192.168.2.0/24 так, чтобы трафик был ЛОКАЛЬНЫМ?

Благодарю.
А я вобще не понял задачи, есть комп, есть демон, на компе есть 2 интерфейса - внешний и локальный, как организовать доступ из сетки локальной - куда??? Что бы трафик был локальным - опять же что имелось ввиду?
barabashka вне форума   Вставить выделенное      Ответить с цитированием
Старый 05-07-2008, 15:08 Ссылка на пост    #5
cyberb
Продвинутый серфер
Продвинутый серфер


Сообщений: 2,405
На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин.

=) Ы Вообщем я вам расскажу что хочет товарищ)

inet <-> (212.57.*.*) bsd with ftp (192.168.2.0/24) <-> LAN

Так вот товарищ хочет чтобы из LAN траффик до фтп был локальным. Если я все прально понял, то Петросян точно отдыхает. Рассказываю, если запрос пришел из локальной сети(тоесть сорс у него локальный) - нет ни одной причины отправлять его в сеть глобальную. Траффик считает на порту прова(это там где у мя написано inet). Если пакет пришел на 212.57.*.* то в НАТ он тоже заворачиваться не буит(я в этом уверен на 99%, просто ща проверить негде), пакет придет на локаль, посмотрит таблицу маршрутизации и обнаружит что 212.57.*.* доступен без прыжков - это означает что до порта он снова не дойдет.

Вообщем снова вопрос в стиле баян - просто нада почитать про маршрутизацию, в книжках о БСД это 5-10 страниц. Я скоро застрелюсь от таких вопросов
cyberb вне форума   Вставить выделенное      Ответить с цитированием
Старый 05-07-2008, 18:49 Ссылка на пост    #6
smileenator
Серфер

Нет голосов

Сообщений: 26
На форуме с: 25.09.07
Провел: 17ч. 29мин.

хех, тут не всё так просто. если фтп слушает скажем на 212.57.*.*:21 то из локалки он будет проталкиваться через нат, а если он слушает на всех интерфейсах, то отвечать будет на интерфейсе который ближе.
root pure-ftpd 523 4 tcp4 *:21 *:*
вот например у меня - пюре слушает на всех доступных интерфейсах.
точно так же ведёт себя профтп. как себя ведёт стандартный фтпд - не знаю.
smileenator вне форума   Вставить выделенное      Ответить с цитированием
Старый 05-07-2008, 19:45 Ссылка на пост    #7
barabashka
W&P Team
фсе поменялось
 
barabashka


Сообщений: 10,250
На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин.

Важно не где слушает демон, а куда отправляется запрос от клиента, если запрос идет на внутренний адрес, то траф будет локальным, а если запрос идет на внешний адрес - то, мля, кривые ручки...

Вобще, если правильно строить безопасность сервера и работающих на нем сервисов, то ftp демон должен слушать только внутренние адреса, а для внешних запросов демон должен паблишиться с помощью файера, с соответствующей фильтрацией по протоколу, дабы отсекать заведомо неправильный траф, + флуд, брутфорс, ДДОС и подобную муть - всем этим должен заниматься файрвол, а не демон, вобщем это ИМХО.

Дык вот если рассматривать приведенный мной вариант, то поидее делать вобще ничего не нужно, потому как уже все сделано и работает. Если же не так - стоит задуматься над структурой и что-то поменять.
barabashka вне форума   Вставить выделенное      Ответить с цитированием
Старый 06-07-2008, 02:26 Ссылка на пост    #8
cyberb
Продвинутый серфер
Продвинутый серфер


Сообщений: 2,405
На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин.

Товарищи хватить с*ать в уши) Даже если буит кидаться на внешку через НАТ(в чем я лично сомневаюсь)... Вот скажем пришел пакет, просочился в НАТ, система смотрит а где же у нас такой замечательный ИП.... ОПА, так вот он - на iface таком-то, отрабатывает и ответ назад через НАТ. Или вы хотите сказать, что запрос идет на НАТ, потом уходит на дефаултгейтвай, который его отправляет назад. Вы что???? Курить маны полезно, а вот всякую гадость внутрь заворачивать уже нет
cyberb вне форума   Вставить выделенное      Ответить с цитированием
Старый 07-07-2008, 00:24 Ссылка на пост    #9
Asped
W&P Team
ПесецОтморозок


Сообщений: 1,197
На форуме с: 01.03.03
Провел: 3нед. 2д. 21ч. 48мин.

народ, вот честно, почитал нифига не понял... у машины есть интерфейс даже пускай на него прикручены 2 ипа это неважно абсолютно, главное как роутинг прописан до нужной сетке в обход инет шлюза ... в общем читайте маны как cyberb: советует...
Asped вне форума   Вставить выделенное Отправить сообщение для  Asped с помощью ICQ      Ответить с цитированием
Старый 07-07-2008, 00:42 Ссылка на пост    #10
barabashka
W&P Team
фсе поменялось
 
barabashka


Сообщений: 10,250
На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин.

А как роутинг прописан, если они в одной сети находятся... маска 24-я, палюбому адреса все в одной сети... тут как рутинг не прописывай, есть адрес, есть маска, есть другие адреса, попадающие под эту маску.
barabashka вне форума   Вставить выделенное      Ответить с цитированием
Старый 07-07-2008, 07:39 Ссылка на пост    #11
cyberb
Продвинутый серфер
Продвинутый серфер


Сообщений: 2,405
На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин.

Да даже если это не в этой сетке, если на другой iface роутера-фтп-сервера... с какого перепуга этот сервер будет пакеты предназначенные ДЛЯ СЕБЯ отправлять в сеть(тоесть на порт на котором они считаться будут)? Развели флуд на тривиальным баяном!!! Я уже говорил, это написано в любой книжке по любой сетевой ОС.
cyberb вне форума   Вставить выделенное      Ответить с цитированием
Старый 07-07-2008, 10:52 Ссылка на пост    #12
Asped
W&P Team
ПесецОтморозок


Сообщений: 1,197
На форуме с: 01.03.03
Провел: 3нед. 2д. 21ч. 48мин.

cyberb: а где аффтор собсно говоря... пускай расталковывает общественности, что у него куда зарулино, а то действительно игра на бояне получается...

P.S. - я конечно понимаю, что пофлудить всем хочется но это уже перерастает в обсуждение стека TCP/IP в полном обьеме...
Asped вне форума   Вставить выделенное Отправить сообщение для  Asped с помощью ICQ      Ответить с цитированием
Старый 07-07-2008, 19:06 Ссылка на пост    #13
Dud
W&P Team
W&P Team
 
Dud

На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 1мин.

Растолковывать пока нечего. Изучаю pf.

Нужен доступ к фтп снаружи по наружнему адресу и изнутри по внутреннему.
Dud вне форума   Вставить выделенное      Ответить с цитированием
Старый 07-07-2008, 20:16 Ссылка на пост    #14
barabashka
W&P Team
фсе поменялось
 
barabashka


Сообщений: 10,250
На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин.

Ну дык а вроде все таки и есть??? Или есть какие-то проблемы?
barabashka вне форума   Вставить выделенное      Ответить с цитированием
Старый 08-07-2008, 13:11 Ссылка на пост    #15
Dud
W&P Team
W&P Team
 
Dud

На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 1мин.

Чисто мысли вслух :)



<внешн. адр> <--> BSD GW <--> em0 <--> ftp daemon

Соотв. адрес гейтвея внешний, адрес em0 тоже внешний.

Демон слушает на всех ифейсах. Так всё работает.




<внутр. адреса> <--> ?? <--> em0_alias0 <--> ftp daemon

Здесь внутренние адреса -- это диапазон 192.168.2.0/24, алиасу присвоен адрес 192.168.2.177.

Т.е. нужен статик роутинг диапазона на алиас, минуя деф. гейтвей?


static routes "intFTP"
route_intFTP="192.168.2.0/24 192.168.2.177"

Типа такого в rc.conf?
Dud вне форума   Вставить выделенное      Ответить с цитированием
Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

vB коды Вкл.
[IMG] код Вкл.
Быстрый переход





Предупреждение: Никакого детского порно в запросах и ссылках.
Любое упоминание детского порно в контексте будет пресекаться.


Часовой пояс GMT +4, серверное время: 03:35.