[FUG-BR] Servidor FTP e regras do PF

vic vic em wa.pro.br
Quinta Fevereiro 14 17:23:23 BRST 2013 

resposta no final :P

Em 2013-02-14 16:43, Rodrigo Mosconi escreveu:
> O ftp-proxy está rodando com a flag -R?
>
> Em 14 de fevereiro de 2013 16:18, EnioRM <eniorm em gmail.com> escreveu:
>> vic e Cartola
>> eu acompanho o FAQ do PF e foi de lá que segui as dicas,
>> como você disse vic, fiz de forma parecida
>> pass in quick on $nic_externa inet proto tcp to port > 49151 flags 
>> S/SAFR
>> porém analisei por último o sysctl indicado, que estava com 10000 e 
>> alterei
>> a linha porém o erro persiste.
>>
>> Claro, achei um meio que nem sempre resolve 100%, foi justamente 
>> configurar
>> (desativar) o modo passivo, tanto no FileZilla e pelo IE, diminuiu a
>> frequencia de erros porém não resolveu, pois não tem como eu 
>> controlar os
>> usuários externos para que façam o ajuste.
>>
>>
>>
>> 2013/2/14 Carlos Eduardo G. Carvalho (Cartola) <cartoleba em gmail.com>
>>
>>> Pessoal, só lembrando também que há tradução em português dessa doc 
>>> do PF:
>>>
>>> http://www.openbsd.org/faq/pf/pt/index.html
>>>
>>> ou direto ao ponto:
>>>
>>> http://www.openbsd.org/faq/pf/pt/ftp.html
>>>
>>> Bom pra pelo menos ficar no histórico da lista e avisar os 
>>> desavisados :)
>>>
>>> Abs,
>>>
>>> Carlos E G Carvalho (Cartola)
>>> http://cartola.org/360
>>> http://www.panoforum.com.br/
>>>
>>>
>>> Em 14 de fevereiro de 2013 16:02, vic <vic em wa.pro.br> escreveu:
>>>
>>> > Em 2013-02-14 14:46, EnioRM escreveu:
>>> > > salve galera! gostaria de um pequeno help.
>>> > >
>>> > > o servidor onde está rodando o PF é o mesmo que roda o ftp, 
>>> horas eu
>>> > > testo
>>> > > o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes.
>>> > >
>>> > > Notei que, nas regras do pf.conf, quando ativadas, está me 
>>> causando
>>> > > alguns
>>> > > problemas de conexão, hora autentica, hora não, quando digito a
>>> > > senha,
>>> > > vezes requer que eu aperte F5, e horas me exibe uma mensagem de 
>>> erro
>>> > > sobre
>>> > > permissão.
>>> > >
>>> > > Mas quando deixo as regras limpas com um pfctl -Fa, tudo 
>>> funciona
>>> > > como
>>> > > esperado.
>>> > > Estou acompanhando essas explicações, que parece o mais 
>>> adequado com
>>> > > o que
>>> > > eu preciso
>>> > > http://www.openbsd.org/faq/pf/ftp.html#server
>>> > >
>>> > > e as minhas regras, simples, começa com um block in on $externa
>>> > > e depois as liberações indicadas de FTP conforme está no FAQ
>>> > >
>>> > > Alguém me sugere algum ajuste melhor?
>>> >
>>> > Geralmente o FTP dá problema com o modo passivo. O que você tem 
>>> que
>>> > fazer é aceitar a conexão nas portas usadas no modo passivo. 
>>> Talvez seu
>>> > software de ftp suporte especificar uma faixa de portas para usar 
>>> e ela
>>> > deve estar dentro das sysctl:
>>> >
>>> > net.inet.ip.portrange.first=30000
>>> > net.inet.ip.portrange.last=55000
>>> >
>>> > BTW, o que eu disse acima está dito na FAQ que você enviou
>>> > especificamente em "
>>> > OpenBSD's native FTP server ftpd(8) uses the range 49152 to 
>>> 65535", que
>>> > corrobora com a regra
>>> >
>>> > pass in on $ext_if proto tcp to port > 49151
>>> >
>>> > --
>>> > vic
>>> > http://choppnerd.com
>>> > http://donttrack.us   |   http://dontbubble.us
>>> > -------------------------
>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> *ENIO R M*
>> *
>> Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
>>
>> *"H**ave a trouble with windows: reboot!*
>> *Have a trouble with unix: be root!"*
>> *
>> *
>> *"Linux: para aqueles que odeiam o Windows."*
>> *"BSD: para aqueles que amam o Unix."*

Rodrigo, o uso do ftp-proxy faria sentido se o firewall estivesse 
fazendo NAT para um servidor FTP, mas nesse caso ele já comentou que o 
PF e o serviço ftp estão no mesmo host.

Enio, vale lembrar que se esse seu servidor estiver atrás de NAT, então 
no equipamento que faz o NAT deve ter o redirecionamento para as portas 
passivas.

E ainda sobre essas, ratifico que se você estiver usando FreeBSD, 
atente que apesar a FAQ do PF ser a documentação indicada, não esqueça 
que existem diferenças entre os sistemas (OpenBSD e FreeBSD), como o 
OpenBSD usar para porta FTP passiva o indicado na FAQ e o FreeBSD 
respeitar as sysctl que indiquei e checar qual a configuração do 
software ftp usado.

ps: agora que notei que ao invés de simplesmente colocar a sysctl eu 
copiei com os valores que uso num servidor aqui :P

-- 
vic
http://choppnerd.com
http://donttrack.us   |   http://dontbubble.us

Mais detalhes sobre a lista de discussão freebsd