PortMAp

darchik

Всем привет!

Пожалуйста, ктонить обьясните как сделать портмаппинг. Пытался сделать никак не получается. Не получается даже на сам серв. Есть какие нить конфиги готовые?

Заранее благодарен!

ToXaNSK

:)
Что мапить то будем?
http://forum.pfsense.org/index.php/topic,11924.0.html
Почти в самом низу.

darchik

На самом деле мапить нада много чего, к примеру возьмем фтп.
В этих постах чот не совсем догнал, они доделали или нет?
На фаере нужны какие нить правила кроме разрешения портов? или настраиваем тока НАТ?

dvserg

@darchik:

На самом деле мапить нада много чего, к примеру возьмем фтп.
В этих постах чот не совсем догнал, они доделали или нет?
На фаере нужны какие нить правила кроме разрешения портов? или настраиваем тока НАТ?

С принципами работы FTP знаком? Активный/пассивный режимы, используемые порты?
–-
А что сделать хотим?

darchik

Да, конечно.
Стоит пфсенс с реалИП в одной сетевухе и локалИП в другой. В локальной сети есть фтп сервер, туда нада прокинуть с инета порты фтп. Вот!

dvserg

http://www.opennet.ru/openforum/vsluhforumID1/77559.html

darchik

ну так там же тож нет окончательного решения.
Такое ваще делается?
А то чот нифига не получается.

dvserg

@darchik:

ну так там же тож нет окончательного решения.
Такое ваще делается?
А то чот нифига не получается.

http://devwiki.pfsense.org/FTPTroubleShooting
http://forum.pfsense.org/index.php/board,22.60.html
http://forum.pfsense.org/index.php/topic,10542.0.html
На интерфейсах выключи FTPHelper

darchik

Почитал, отключил и… ничего не вышло.
Может попробуем сделать всё это пошагам, если вы это делали.
Да кст, есть еще один маленький не значительный факт, у ФТП-сервера шлюз по умолчанию другая машина(не пфсенс). Поменял его на пфсенс чот не очень то ситуация изменилась.
Может все таки попробуем пошагам проделать всё это, может у меня опыта и знания не хватает?

dvserg

Какой диапазон портов использует ФТП сервер? Какие там настройки?
http://novikov.ua/articles/web-secrets/6809/
http://karman.com.ua/_chem_otlichajutsja_aktivnyj_i_0_83_faq_1_1.html

1. необходим проброс 21 порта Wan > FTP server
2. необходим NAT 20 порта FTP сервера на улицу.
3. для пассивного режима еще нужен проброс диапазона портов > 1024 с WAN на FTP server При этом очень желательно чтобы сервер позволял ограничивать диапазон используемых им портов(например не более  100 одновременных клиентов =>> 2000-2100)

В http://devwiki.pfsense.org/FTPTroubleShooting дословно в таком варианте(их там несколько)

Incoming FTP using Port Forwards (Internet -> LAN/OPT lan type interface ie. no gateway entered for the OPT interface)

1\. Ensure that the FTP helper is enabled on the WAN/OPT interface
2\. Delete any existing FTP port forwards or firewall rules that where created perviously for FTP
3\. Add a new port forward for destination port 21 with the destination private NAT ip (example: 192.168.1.20) (this is even the case for 1:1 nat'd interfaces!)
4\. If you are running windows try turning off the windows firewall

Alternatively for incoming FTP you can disable the FTP Helper on Interfaces -> WAN and simply port forward 21 and the data port range used by FTP. Generally this is definable on the FTP server (modern day implementations). You can easily restrict the data port range to a specific range and simply forward that. 

Входящие FTP подключения с использованием порт форвардинга
1. Убедитесь что FTP helper включен на WAN интерфейсе (это тот который в инет)
2. Удалите любые FTP портфорвардинги или правила файрвола которые были созданы ранее
3. добавьте новый портфорвард для destination port 21 с destination приватным NAT ip (например 192.168.1.20) (*тоесть ваш ФТП)
4 В Windows выключить файрвол.

darchik

Диапазон 20-21, настройки по умолчанию Serv-U.
Вот установил и ничего не трогал.

dvserg

@darchik:

Диапазон 20-21, настройки по умолчанию Serv-U.
Вот установил и ничего не трогал.

20-21 служебные порты. Так-же есть еще диапазон портов для коннекта в пассивном режиме На некоторых серверах он настраивается. И честно говоря я не уверен насчет вашего шлюза по умолчанию на FTP сервере. должен быть в этом случае pfSense

darchik

Приогромнейшее человеческое спасибо!

Всё правильно, я оказывается не включил пассив мод. Включил и всё заработало.
А на счет шлюза это оказывается критично, если не пфсенс шлюз, то не работает. вот такие дела.

Еще раз благодарю.

Кст, вполне возможно на этом тема не закончиться т.к. через эту же машину нада буит пробрасывать еще кучу портов :) и буду очень признателен еси поможешь ;)