Meu cenário é mais simples, tenho o free rodando com PF+ALTQ e atrás dele um
servidor FTP onde clientes enviam arquivos para a empresa como também a
empresa disponibiliza arquivos para os mesmos.

Dai para que o servidor FTP funcionasse a contento instalei o pftpx via
ports mesmo e minhas confs estão assim:

1 - Configuração no rc.conf (como vou rodar mais de uma instância do pftpx,
adicionei a seguinte linha no rc.conf)
rc_conf_files="/etc/rc.conf /etc/rc.conf.local" assim posso carregar no meu
caso as 2 instâncias que preciso dentro do rc.conf.local, uma para que os
clientes acessem servidores FTP na NET e outra para que a NET acesse meu
servidor FTP atrás do FW
# Proxy rede interna a servidores na internet
/usr/local/sbin/pftpx

# Proxy para acesso ao FTP atrás do FW
/usr/local/sbin/pftpx -f 192.168.0.2 -p 200.96.175.210 -c 21

2 - agora no /etc/pf.conf  (configuração para que os clientes atrás do FW
acesse FTP na internet)
Na sessão de NAT coloque
nat-anchor "pftpx/*"

Na sessão de redirecionamento coloque
rdr-anchor "pftpx/*"
rdr pass on $if_int proto tcp from $rede_interna to any port 21 -> 127.0.0.1
port 8021

Na sessão das regras de filtragem
anchor "pftpx/*"
pass in  quick on $if_int proto tcp from $rede_interna to any port 21
modulate state
pass out quick on $if_ext proto tcp from $if_ext to any port 21 modulate
state

Pronto! com isso seus clientes já terão acesso a servidores FTP na NET

agora para que os clientes das filiais acessem o seu server na matriz o
ideal é você configurar um servidor FTP no modo PASSIVO, assim você tem o
controle das portas que serão abertas no PF.


2009/8/4 Ricardo Souza <ricardo.so...@ti.cmtsp.com.br>

> Interessante. Seu cenário era parecido com o meu? Voce pode mandar mais
> informacoes de como aplicou o pftpx
> valeu
>
>
> 2009/8/4 Rogério Moura <roger...@gmail.com>
>
> > Cara eu também usei o ftp-proxy, fiz todas as configurações e mesmo assim
> > não acessava, então passei para o pftpx e deu tudo certo!
> >
> > 2009/8/4 Ricardo Souza <ricardo.so...@ti.cmtsp.com.br>
> >
> > > Boa tarde,
> > > tenho um firewall na matriz rodando FreeBSD 7.1 + PF ( Nome do Servidor
> > > Ajax
> > > ). Tenho o outro servidor que é o BACKUP do carp ( Trinity ).
> > > IPS:
> > > bce1 = 10.100.0.124
> > > carp1 = 10.100.0.119
> > > bce0= 200.143.33.XXX
> > > carp0 = 200.143.33.XXY
> > >
> > > Nas filiais tenho mikrotiks que fecham VPN com o servidor Ajax. O range
> > da
> > > VPN é 172.16.0.0/24, sendo 172.16.0.1 o Ajax.
> > >
> > > O problema é que as maquinas clientes do Mikrotik nas filiais obtem
> erro:
> > > Invalid PORT command quando tentam acessar um servidor de FTP na matrix
> (
> > > 10.100.0.8 ).
> > >
> > > Eu li o livro  "The book of PF" e uso OpenBSD em alguns firewalls
> tambem.
> > > Tentei instalar o ftp-proxy pelo ports e obtive erro.
> > >
> > > A saída para meu problema é com ftp-proxy mesmo?
> > >
> > > Obrigado.
> > >
> > > Erro do ftp-proxy:
> > >
> > > Ajax# pwd
> > > /usr/ports/ftp/ftp-proxy
> > > Ajax# make install clean
> > > ===>  ftp-proxy-4.3p1_1 is a part of base for 7.0 and above.
> > > *** Error code 1
> > >
> > > Stop in /usr/ports/ftp/ftp-proxy.
> > > Ajax#
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Responder a