PF und redirect (rdr)/ FTP-Proxy

asg

push it, don´t hype
Moin.

Haben ein kleines Problem mit dem Zugriff auf unseren FTP-Server. Naja, vielmehr scheint die AS/400 eines zu haben, aber das zu debuggen würde mehr als nur stinken.

Problem:
Nur die AS/400 hat immer wieder Probleme einen connect auf den FTP-Server aufzubauen und Daten abzulegen oder abzuholen. Dort rennt ein Programm was alle Verzeichnisse der Kunden durläuft und nach Daten ausschau hält.
AS/400 versucht nen connect, scheitert, versucht es wieder (diesmal wechelt sie in das Verzeichnis vom nächsten Kunden), funktioniert. Fehler nicht wirklich erkennbar warum es mal geht, eine Sekunde später dann nicht,...

Konfiguration:
Auf unserem FTP-Server rennt PF und in diesem Zuge auch der FTP-Proxy, der via inetd.conf gestartet wird.
Eintrag:
Code:
ftp-proxy       stream  tcp     nowait  root    /usr/libexec/ftp-proxy  ftp-proxy -D 1 -u proxy -m 55000 -M 65534 -t 180

Nun die eigentliche Frage, in Bezug auf pf.conf, kann man bei dem rdr eine IP, die der AS/400, also 10.4.1.1, von dem rdr ausnehmen, so dass diese nicht über den FTP-Proxy geleitet wird? Ich stehe da gerade vollkommen auf dem Schlauch.
Die Einträge in der pf.conf bezgl. FTP-Proxy:
Code:
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

pass log quick proto tcp from any to 127.0.0.1 port 8021 keep state
pass out log quick proto tcp from $sfwd_ip to any port > 1023 keep state

pass in log quick on $ext_if proto tcp from any port 20 to $ext_if port 55000 >< 65534 flags S/SA keep state
pass out log quick on $ext_if proto tcp from $ext_if to any port {20,21} flags S/AUPRFS modulate state
pass out log quick on $ext_if proto tcp from $ext_if port 55000 >< 65534 to any flags S/SAFR keep state

Und ja, wir brauchen die FTP-Proxy da manche Bankensoftware auf die wir angewiesen sind, ich frage mich warum da jede Bank was eigenes mit eigenen Ports und Protokollen schustern muss, diesen benötigen.

Danke vielmals.
 
RTFM

Bei einem Kaffee und einer Fluppe kam mir dann
Code:
no rdr on $int_if proto tcp from 10.4.1.1 to any port 21
in den Sinn. Das vor die "rdr" Regel gesetzt, ftp connections von 10.4.1.1 werden nicht an den Proxy weitergeleitet.
 
Ich finde es immer wieder schön, wie du deine Probleme und die passende Lösung dazu für uns dokumentierst. ;)
 
Back
Top