[FUG-BR] Servidor FTP e regras do PF
EnioRM
eniorm em gmail.com
Sexta Fevereiro 15 08:03:11 BRST 2013
2013/2/14 vic <vic em wa.pro.br>
> resposta no final :P
>
> Em 2013-02-14 16:43, Rodrigo Mosconi escreveu:
> > O ftp-proxy está rodando com a flag -R?
> >
> > Em 14 de fevereiro de 2013 16:18, EnioRM <eniorm em gmail.com> escreveu:
> >> vic e Cartola
> >> eu acompanho o FAQ do PF e foi de lá que segui as dicas,
> >> como você disse vic, fiz de forma parecida
> >> pass in quick on $nic_externa inet proto tcp to port > 49151 flags
> >> S/SAFR
> >> porém analisei por último o sysctl indicado, que estava com 10000 e
> >> alterei
> >> a linha porém o erro persiste.
> >>
> >> Claro, achei um meio que nem sempre resolve 100%, foi justamente
> >> configurar
> >> (desativar) o modo passivo, tanto no FileZilla e pelo IE, diminuiu a
> >> frequencia de erros porém não resolveu, pois não tem como eu
> >> controlar os
> >> usuários externos para que façam o ajuste.
> >>
> >>
> >>
> >> 2013/2/14 Carlos Eduardo G. Carvalho (Cartola) <cartoleba em gmail.com>
> >>
> >>> Pessoal, só lembrando também que há tradução em português dessa doc
> >>> do PF:
> >>>
> >>> http://www.openbsd.org/faq/pf/pt/index.html
> >>>
> >>> ou direto ao ponto:
> >>>
> >>> http://www.openbsd.org/faq/pf/pt/ftp.html
> >>>
> >>> Bom pra pelo menos ficar no histórico da lista e avisar os
> >>> desavisados :)
> >>>
> >>> Abs,
> >>>
> >>> Carlos E G Carvalho (Cartola)
> >>> http://cartola.org/360
> >>> http://www.panoforum.com.br/
> >>>
> >>>
> >>> Em 14 de fevereiro de 2013 16:02, vic <vic em wa.pro.br> escreveu:
> >>>
> >>> > Em 2013-02-14 14:46, EnioRM escreveu:
> >>> > > salve galera! gostaria de um pequeno help.
> >>> > >
> >>> > > o servidor onde está rodando o PF é o mesmo que roda o ftp,
> >>> horas eu
> >>> > > testo
> >>> > > o ftpd do FreeBSD, horas eu mudo para o vsftpd para testes.
> >>> > >
> >>> > > Notei que, nas regras do pf.conf, quando ativadas, está me
> >>> causando
> >>> > > alguns
> >>> > > problemas de conexão, hora autentica, hora não, quando digito a
> >>> > > senha,
> >>> > > vezes requer que eu aperte F5, e horas me exibe uma mensagem de
> >>> erro
> >>> > > sobre
> >>> > > permissão.
> >>> > >
> >>> > > Mas quando deixo as regras limpas com um pfctl -Fa, tudo
> >>> funciona
> >>> > > como
> >>> > > esperado.
> >>> > > Estou acompanhando essas explicações, que parece o mais
> >>> adequado com
> >>> > > o que
> >>> > > eu preciso
> >>> > > http://www.openbsd.org/faq/pf/ftp.html#server
> >>> > >
> >>> > > e as minhas regras, simples, começa com um block in on $externa
> >>> > > e depois as liberações indicadas de FTP conforme está no FAQ
> >>> > >
> >>> > > Alguém me sugere algum ajuste melhor?
> >>> >
> >>> > Geralmente o FTP dá problema com o modo passivo. O que você tem
> >>> que
> >>> > fazer é aceitar a conexão nas portas usadas no modo passivo.
> >>> Talvez seu
> >>> > software de ftp suporte especificar uma faixa de portas para usar
> >>> e ela
> >>> > deve estar dentro das sysctl:
> >>> >
> >>> > net.inet.ip.portrange.first=30000
> >>> > net.inet.ip.portrange.last=55000
> >>> >
> >>> > BTW, o que eu disse acima está dito na FAQ que você enviou
> >>> > especificamente em "
> >>> > OpenBSD's native FTP server ftpd(8) uses the range 49152 to
> >>> 65535", que
> >>> > corrobora com a regra
> >>> >
> >>> > pass in on $ext_if proto tcp to port > 49151
> >>> >
> >>> > --
> >>> > vic
> >>> > http://choppnerd.com
> >>> > http://donttrack.us | http://dontbubble.us
> >>> > -------------------------
> >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>> >
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >>
> >>
> >> --
> >> *ENIO R M*
> >> *
> >> Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
> >>
> >> *"H**ave a trouble with windows: reboot!*
> >> *Have a trouble with unix: be root!"*
> >> *
> >> *
> >> *"Linux: para aqueles que odeiam o Windows."*
> >> *"BSD: para aqueles que amam o Unix."*
>
> Rodrigo, o uso do ftp-proxy faria sentido se o firewall estivesse
> fazendo NAT para um servidor FTP, mas nesse caso ele já comentou que o
> PF e o serviço ftp estão no mesmo host.
>
> Enio, vale lembrar que se esse seu servidor estiver atrás de NAT, então
> no equipamento que faz o NAT deve ter o redirecionamento para as portas
> passivas.
>
> E ainda sobre essas, ratifico que se você estiver usando FreeBSD,
> atente que apesar a FAQ do PF ser a documentação indicada, não esqueça
> que existem diferenças entre os sistemas (OpenBSD e FreeBSD), como o
> OpenBSD usar para porta FTP passiva o indicado na FAQ e o FreeBSD
> respeitar as sysctl que indiquei e checar qual a configuração do
> software ftp usado.
>
> ps: agora que notei que ao invés de simplesmente colocar a sysctl eu
> copiei com os valores que uso num servidor aqui :P
>
> --
> vic
> http://choppnerd.com
> http://donttrack.us | http://dontbubble.us
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
vic obrigado pelos esclarecimentos. O problema com certeza está em algum
detalhe nas regras do PF, visto que quando eu deixo-o desativado, tenho o
FTP funcionando normalmente como esperado. Não tenho o servidor atrás de
nat, ele está com IP válido e o ftpd escuta na nic externa.
abraços
--
*ENIO R M*
*
Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
*
*
*"Linux: para aqueles que odeiam o Windows."*
*"BSD: para aqueles que amam o Unix."*
Mais detalhes sobre a lista de discussão freebsd