2011/6/29 Christiano Liberato <christianoliber...@gmail.com>: > Caros, > > permito no pf que alguns ips façam ftp e agora surgiu a necessidade de > permitir que façam ftps para um determinado ip na porta 990. > Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao > lista as pastas de jeito nenhum. > Ja alterei as confs de nat-anchor e rdr-anchor e nada. > Alguem ja fez isso funcionar? > Parece que tem algo a ver com passive mode...
Até onde sei é impossível atender a todas as modalidades de conexão FTP. Se você usar o ftp-proxy vai cobrir 2 tipos: FTP ativo FTP passivo Ambos sem SSL, se você desligar o ftp-proxy e tiver as regras liberando os usuários internos a sair pra portas altas, vai cobrir o seguinte: FTP passivo FTP com SSL O que acontece é que quando você habilita o ftp-proxy, as conexões pra porta 21 são redirecionadas pro proxy, e é ele quem abre a conexão com o server, e nessa hora não vai rolar a troca de chaves pois o ftp-proxy não sabe fazer isso. Mesmo se ele soubesse, teria que rolar uma troca de chaves entre o proxy e o server e outra entre o client e o proxy. Nesse caso, o client nunca teria certeza que o destinatário é quem diz ser. O protocolo FTP é tosco e cheio de problemas, o ideal seria não usá-lo mais, mas.... "na teoria a prática é simples, já na prática as coisas são diferentes". []s -- Renato Botelho ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd