ftp, pftpx und pf

kai_001

Well-Known Member
Hallo,

durch diesen Thread bin ich auf pftpx aufmerksam geworden.

Login klappt, aber der Datenport haut nicht hin ( egal, ob aktiv oder passiv ).

In der rc.conf steht folgendes:

pftpx_enable="YES"
pftpx_flags="-f 192.168.69.1"

Meine pf.conf sieht so aus:

Code:
ext_if="em1"
int_if="em0"
internal_net="192.168.69.0/16"
external_addr="85.xxx.xx.147"

# ftp ip's
ext_ip="85.xxx.xx.147"
ftp_ip="192.168.69.1"

# ftp proxy
nat-anchor "pftpx/*"
rdr-anchor "pftpx/*"
rdr pass on $ext_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

anchor "pftpx/*"
pass in on $ext_if inet proto tcp to $ext_if port 21 flags S/SA keep state
pass in on $ext_if inet proto tcp from any to $ext_if port > 49151 keep state
pass out on $ext_if inet proto tcp to $ftp_ip port 21 user proxy flags S/SA keep state
pass out on $ext_if inet proto tcp to $ftp_ip port 20 user proxy flags S/SA keep state
pass out on $ext_if inet proto tcp to $ftp_ip port > 49151 user proxy flags S/SA keep state


Ok ... sind eigentlich nochmehr Regeln, aber nur die hier betreffen FTP.

Port 21 von extern soll über pftpx an den FTP Server 192.168.69.1 übergeben werden.

Login funktioniert einwandfrei ... nur er bekommt keine Datenverbindung zustande :grumble:

Hier ein Auszug aus pflog:

119. 742868 rule 12.3488.3.0/0(match): pass in on em0: 192.168.69.1.20 > 77.177.xxx.xxx.5001: S 3922918161:3922918161(0) win 65535 <mss 1460,nop,nop,sackOK,[|tcp]>


Habt ihr eine Idee?

Danke und viele Grüße
Kai
 
wenn das ganze ein proxy für den verkehr von drinnen nach draußen sein solle, dann sollte
Code:
rdr pass on $ext_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
glaube ich so aussehen
Code:
rdr pass on $inf_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
 
wenn das ganze ein proxy für den verkehr von drinnen nach draußen sein solle, [...]

Wenn ich das richtig verstanden habe, soll es das nicht sein:

Port 21 von extern soll über pftpx an den FTP Server 192.168.69.1 übergeben werden.

Login funktioniert einwandfrei ... nur er bekommt keine Datenverbindung zustande :grumble:

Muesste dann aber nicht noch eine Redirection fuer den FTP-Datenport mit dabei sein?
Nachdem der Login einwandfrei funktioniert, wuerde ich ein Problem bei Port 20 vermuten.
 
Hallo,

ja, ich meine es so wie "hades".

Habe mit dem rdr für Port 20 getestet, auch laut der man-page von pftpx ... ich komme nicht weiter :confused:

Kurios ist ja, dass Port 21 einwandfrei funzt ... ;'(

Danke und Gruß
Kai
 
Habe mit dem rdr für Port 20 getestet, auch laut der man-page von pftpx ... ich komme nicht weiter
Hast du auch an eine 'pass in' Regel fuer Port 20 gedacht?
Zumindest in deinem obigen Beispiel ist das nicht zu finden.
 
Hi,

noch nicht wirklich ... laut openbsd brauch man sowas wohl auch nicht -->

"Regeln, die FTP-Datenverbindungen erlauben, werden nicht länger benötigt. Derartige Regeln können Begriffe wie »user proxy« oder »to port > 49151« enthalten. "

Was mich halt verwundert is diese Ausgabe von pflog:

7. 719644 rule 12.13979.4.0/0(match): pass in on em0: 192.168.69.1.20 > 212.xxx.xxx.183.3639: S 368263718:368263718(0) win 65535 <mss 1460,nop,nop,sackOK,[|tcp]>

192.168.69.1.20 ist ja der Datenport des FTP-Servers .... müsste dass aber nicht der pftpx handeln?

Danke und viele Grüße
Kai
 
Hi,

habs gelöst!

net.inet.ip.forwarding war auf 0 :ugly:

Danke für Eure Ratschläge ... klappt jetzt einwandfrei!

Gruß
Kai
 
Back
Top