transparent ftp proxy
Hello All. Граждане, присоветуйте transparent ftp proxy, желательно чтоб умел по имени пользователя выбирать сервер, на который логиниться. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: transparent ftp proxy
On Tue, 6 Jun 2006 18:10:13 +0400 Andrey Melnikoff [EMAIL PROTECTED] wrote: Граждане, присоветуйте transparent ftp proxy, желательно чтоб умел по имени пользователя выбирать сервер, на который логиниться. frox. При помощи CCP можно обучить почти чему угодно. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: transparent ftp proxy
Alexey Trunyov [EMAIL PROTECTED] wrote: On Tue, 6 Jun 2006 18:10:13 +0400 Andrey Melnikoff [EMAIL PROTECTED] wrote: Граждане, присоветуйте transparent ftp proxy, желательно чтоб умел по имени пользователя выбирать сервер, на который логиниться. frox. При помощи CCP можно обучить почти чему угодно. А внятный FAQ по нему есть? Не дистрибутивный. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: transparent ftp
20 порт тут не при чем. Я достаточно знаком с протоколом... On Thu, Dec 18, 2003 at 08:57:00PM +0300, Vladimir I. Umnov wrote: Фрокс запускается, но клиенты из локалки не могут выйти наружу по ftp вообще 8( консольный клиент из Windows говорит unknown error number. В логах самого фрокса вообще пустота. Где собака порылась -- не могу разобраться. Проде по аналогичной схеме работает squid и проблем нет... Скорее всего забыл про 20 порт! Но не факт, т.к. я не очень знаком с протоколом. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Alexander A. Vlasov, Debian GNU/Linux user
Re: transparent ftp
Большое спасибо за пояснения. Но до 20-го дело не доходит. Телнет на 21-й выдает приглашение, но на любую команду отвечает 530 -- сначала авторизуйтесь. Причем даже на команду USER 8( Почему и говорю -- беда в frox'е. Но в его логах -- пусто. On Fri, Dec 19, 2003 at 12:09:59PM +0200, Volodya wrote: On Fri, Dec 19, 2003 at 11:25:11AM +0200, Alexander A. Vlasov wrote: 20 порт тут не при чем. Я достаточно знаком с протоколом... 20-й как раз таки традиционно это ftp-data. Но в наши дни на этом мало обращают внимания. Разбираться лучше обычным телнетом. На любой машине внутри локальной сети: telnet ftp.WORKINGSERVER.com 21 соединяется и выдает приглашение? идем дальше. user anonymous pass [EMAIL PROTECTED] теперь нужно проверить какие адреса и порты отдаются клиенту в обоих режимах: пассивном и активном пассивный: pasv и смотрим что сервер говорит в ответ по идее транспарент прокси должен ответ перехватить и преобразовать к виду: 227 Entering Passive Mode (192,168,0,1,P1,P2) где 192.168.0.1 -- адрес прокси в локальной сети, P1,P2 два байта номера порта на прокси. с активным чуть сложнее, лучше чтобы внешний сервер был подконтрольным (чтобы была возможность посмотреть логи). активный: port 192,168,0,100,A,B первые четыре цифры это адрес в локалке, вторые две -- номер порта (порт = A*256 + B) по идее транспарентный фтп должен это перехватить и на сервер уже отправить что-то вроде: port 123,123,123,123,C,D где 123,123,123,123 -- адрес торчащий в интернет. А вообще лучше прочитать соотв. RFC. Извините за сумбур. -- /\ \ /ASCII Ribbon Campaign X against HTML email vCards / \ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Alexander A. Vlasov, Debian GNU/Linux user
Re: transparent ftp
On Fri, Dec 19, 2003 at 11:25:11AM +0200, Alexander A. Vlasov wrote: 20 порт тут не при чем. Я достаточно знаком с протоколом... 20-й как раз таки традиционно это ftp-data. Но в наши дни на этом мало обращают внимания. Разбираться лучше обычным телнетом. На любой машине внутри локальной сети: telnet ftp.WORKINGSERVER.com 21 соединяется и выдает приглашение? идем дальше. user anonymous pass [EMAIL PROTECTED] теперь нужно проверить какие адреса и порты отдаются клиенту в обоих режимах: пассивном и активном пассивный: pasv и смотрим что сервер говорит в ответ по идее транспарент прокси должен ответ перехватить и преобразовать к виду: 227 Entering Passive Mode (192,168,0,1,P1,P2) где 192.168.0.1 -- адрес прокси в локальной сети, P1,P2 два байта номера порта на прокси. с активным чуть сложнее, лучше чтобы внешний сервер был подконтрольным (чтобы была возможность посмотреть логи). активный: port 192,168,0,100,A,B первые четыре цифры это адрес в локалке, вторые две -- номер порта (порт = A*256 + B) по идее транспарентный фтп должен это перехватить и на сервер уже отправить что-то вроде: port 123,123,123,123,C,D где 123,123,123,123 -- адрес торчащий в интернет. А вообще лучше прочитать соотв. RFC. Извините за сумбур. -- /\ \ /ASCII Ribbon Campaign X against HTML email vCards / \
Re: transparent ftp
On Fri, Dec 19, 2003 at 12:20:55PM +0200, Alexander A. Vlasov wrote: Большое спасибо за пояснения. Но до 20-го дело не доходит. Телнет на 21-й выдает приглашение, но на любую команду отвечает 530 -- сначала авторизуйтесь. Причем даже на команду USER 8( Почему и говорю -- беда в frox'е. Но в его логах -- пусто. А зачем вообще он нужен этот фрокс? может посмотреть в сторону iptables/ ip_conntrack_ftp - ip_nat_ftp ? -- /\ \ /ASCII Ribbon Campaign X against HTML email vCards / \
Re: transparent ftp
Это совершенно другие вещи. Мне надо кешировать ftp-закачки и 1) Зажимать полосу пропускания для них (то, что для http я делаю при помощи delay-pool в squid) в зависимости от того, кто качает и что. 2) Фильтровать закачки: запретить .exe и все такое. On Fri, Dec 19, 2003 at 02:28:50PM +0200, Volodya wrote: On Fri, Dec 19, 2003 at 12:20:55PM +0200, Alexander A. Vlasov wrote: Большое спасибо за пояснения. Но до 20-го дело не доходит. Телнет на 21-й выдает приглашение, но на любую команду отвечает 530 -- сначала авторизуйтесь. Причем даже на команду USER 8( Почему и говорю -- беда в frox'е. Но в его логах -- пусто. А зачем вообще он нужен этот фрокс? может посмотреть в сторону iptables/ ip_conntrack_ftp - ip_nat_ftp ? -- /\ \ /ASCII Ribbon Campaign X against HTML email vCards / \ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Alexander A. Vlasov, Debian GNU/Linux user
Re: transparent ftp
On Fri, Dec 19, 2003 at 03:08:37PM +0200, Alexander A. Vlasov wrote: Это совершенно другие вещи. Мне надо кешировать ftp-закачки и 1) Зажимать полосу пропускания для них (то, что для http я делаю при помощи delay-pool в squid) в зависимости от того, кто качает и что. 2) Фильтровать закачки: запретить .exe и все такое. А для фтп сквид не умеет все это?(имеется ввиду заворачивание фтп траффика в http-обертку сквидом: GET ftp://ftp.example.com/pub/file.tgz HTTP/1.1)? Или клиенты требуют качать файлы именно по фтп протоколу чистому? -- /\ \ /ASCII Ribbon Campaign X against HTML email vCards / \
Re: transparent ftp
On Fri, Dec 19, 2003 at 03:18:52PM +0200, Volodya wrote: On Fri, Dec 19, 2003 at 03:08:37PM +0200, Alexander A. Vlasov wrote: Это совершенно другие вещи. Мне надо кешировать ftp-закачки и 1) Зажимать полосу пропускания для них (то, что для http я делаю при помощи delay-pool в squid) в зависимости от того, кто качает и что. 2) Фильтровать закачки: запретить .exe и все такое. А для фтп сквид не умеет все это?(имеется ввиду заворачивание фтп траффика в http-обертку сквидом: GET ftp://ftp.example.com/pub/file.tgz HTTP/1.1)? Или клиенты требуют качать файлы именно по фтп протоколу чистому? Ой, извините, забыл -- вам же нужен transparent... -- /\ \ /ASCII Ribbon Campaign X against HTML email vCards / \
Re: transparent ftp
Hi Ну тогда простого ответа нет :) Я бы глянул tcpdump'ом что происходит во время попытки установки соединения и, особенно, облома со стороны винды. On Wed, Dec 17, 2003 at 07:07:13PM +0200, Alexander A. Vlasov wrote: В testing такой строки нет Description: Transparent caching ftp proxy Frox is a FTP proxy with the following features. - Written with security in mind, default setup runs as a non-root user in a chroot jail. - It supports caching of FTP downloads, either through a local cache, or by redirecting connections through another proxy such as squid. - Downloads may be transparently scanned for viruses (through an external scanner). - Controllable via scripts, there is an interface for writing scripts to add features or modify frox's behavior, examples included. . Transparent proxy support is not automatically setup by this package. То что автоматом не сетапит -- это не проблема, я это засетапил сам. И все равно 8((( On Tue, Dec 16, 2003 at 04:50:58PM +0200, Alexander A. Vlasov wrote: Фрокс запускается, но клиенты из локалки не могут выйти наружу по ftp вообще 8( консольный клиент из Windows говорит unknown error number. В логах самого фрокса вообще пустота. Где собака порылась -- не могу разобраться. Проде по аналогичной схеме работает squid и проблем нет... Можзет быть потому, что: [EMAIL PROTECTED]:/tmp$ apt-cache show frox Package: frox Priority: optional [...] Description: Caching ftp proxy [...] Transparent support is supported by frox but not compiled into this package. -- Denis Chapligin -- Alexander A. Vlasov, Debian GNU/Linux user -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Denis Chapligin pgpCQAUcVy36o.pgp Description: PGP signature
Re: transparent ftp
Фрокс запускается, но клиенты из локалки не могут выйти наружу по ftp вообще 8( консольный клиент из Windows говорит unknown error number. В логах самого фрокса вообще пустота. Где собака порылась -- не могу разобраться. Проде по аналогичной схеме работает squid и проблем нет... Скорее всего забыл про 20 порт! Но не факт, т.к. я не очень знаком с протоколом.
Re: transparent ftp
Hi On Tue, Dec 16, 2003 at 04:50:58PM +0200, Alexander A. Vlasov wrote: Фрокс запускается, но клиенты из локалки не могут выйти наружу по ftp вообще 8( консольный клиент из Windows говорит unknown error number. В логах самого фрокса вообще пустота. Где собака порылась -- не могу разобраться. Проде по аналогичной схеме работает squid и проблем нет... Можзет быть потому, что: [EMAIL PROTECTED]:/tmp$ apt-cache show frox Package: frox Priority: optional [...] Description: Caching ftp proxy [...] Transparent support is supported by frox but not compiled into this package. -- Denis Chapligin pgpwUURnBnvpY.pgp Description: PGP signature
Re: transparent ftp
В testing такой строки нет Description: Transparent caching ftp proxy Frox is a FTP proxy with the following features. - Written with security in mind, default setup runs as a non-root user in a chroot jail. - It supports caching of FTP downloads, either through a local cache, or by redirecting connections through another proxy such as squid. - Downloads may be transparently scanned for viruses (through an external scanner). - Controllable via scripts, there is an interface for writing scripts to add features or modify frox's behavior, examples included. . Transparent proxy support is not automatically setup by this package. То что автоматом не сетапит -- это не проблема, я это засетапил сам. И все равно 8((( On Tue, Dec 16, 2003 at 04:50:58PM +0200, Alexander A. Vlasov wrote: Фрокс запускается, но клиенты из локалки не могут выйти наружу по ftp вообще 8( консольный клиент из Windows говорит unknown error number. В логах самого фрокса вообще пустота. Где собака порылась -- не могу разобраться. Проде по аналогичной схеме работает squid и проблем нет... Можзет быть потому, что: [EMAIL PROTECTED]:/tmp$ apt-cache show frox Package: frox Priority: optional [...] Description: Caching ftp proxy [...] Transparent support is supported by frox but not compiled into this package. -- Denis Chapligin -- Alexander A. Vlasov, Debian GNU/Linux user
transparent ftp
Добрый день. Дошли у меня руки до организации прозрачного ftp-прокси в локалке. Поиск в apt-cache показал frox, его я и взял. Итак, делаю такой конфиг: iptables -t nat -A PREROUTING -p tcp -s localnet/24 -d ! localnet/24 --dport 21 -j REDIRECT --to-port 2121 Далее сам frox.conf Listen 127.0.0.1 Port 2121 User proxy Group proxy WorkingDir /var/spool/frox DontChroot Yes LogLevel 25 LogFile /var/log/frox.log APConv yes BounceDefend yes CacheModule http HTTPProxy 127.0.0.1:3128 MinCacheSize 5 MaxForks 10 MaxForksPerHost 2 ACL Allow 192.168.0.0/24 - * ACL Allow 127.0.0.0/8 - * Фрокс запускается, но клиенты из локалки не могут выйти наружу по ftp вообще 8( консольный клиент из Windows говорит unknown error number. В логах самого фрокса вообще пустота. Где собака порылась -- не могу разобраться. Проде по аналогичной схеме работает squid и проблем нет... -- Alexander A. Vlasov, Debian GNU/Linux user
transparent ftp-proxying
Хочу сделать прозрачное ftp-проксирование. Прямой пересыл 21 порта на сквид, понятно, толку не даёт. Поставил frox, ссылающийся на сквид. Сделал соответствующий редирект. Из консоли пашет, из mc -- тормозит по страшному с коннекцией, но пашет, из бровсеров -- не пашет.Где бы покопать? -- Ingvarr. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: transparent ftp-proxying
привет :) копать в сторону http://squid.opennet.ru там все хорошо расписано On Thu, 4 Apr 2002 13:41:10 +0400 (MSD) Ingvarr Zhmakin [EMAIL PROTECTED] wrote: Хочу сделать прозрачное ftp-проксирование. Прямой пересыл 21 порта на сквид, понятно, толку не даёт. Поставил frox, ссылающийся на сквид. Сделал соответствующий редирект. Из консоли пашет, из mc -- тормозит по страшному с коннекцией, но пашет, из бровсеров -- не пашет.Где бы покопать? -- Ingvarr. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Jan Solovjov mob. +37256159411 ICQ UIN: 92473601 sysadmin MagicNET Network | Registered Linux User: 202313 mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: transparent ftp-proxying
Хочу сделать прозрачное ftp-проксирование. копать в сторону http://squid.opennet.ru там все хорошо расписано Там всё хорошо расписано про http-проксирование. Которое у меня работает замечательно. А я хочу ftp. -- Ingvarr. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: transparent ftp-proxying
в sid есть пакет ftp-proxy, он вытянут из SuSe Proxy Suite, прекрасно работает я вам скажу :) On Thu, Apr 04, 2002 at 04:00:12PM +0400, Ingvarr Zhmakin wrote: Хочу сделать прозрачное ftp-проксирование. копать в сторону http://squid.opennet.ru там все хорошо расписано Там всё хорошо расписано про http-проксирование. Которое у меня работает замечательно. А я хочу ftp. -- Ingvarr. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- regards, Dmitry -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: transparent ftp-proxying
HELL'o, уважаемый All! Чт 04 Апр 2002 15:00, Ingvarr Zhmakin написал: Хочу сделать прозрачное ftp-проксирование. Я у себя сделал так: - включил transparent proxy в ядре - поставил squid и frox - firewall'ом редиректим трафик с destination port 80:81 (и прочее, где может http жить) на сквиду - firewall'ом редиректим трафик с destination port 20:21 на frox - учим сквиду понимать такой трафик (как http accelerator) - учим frox понимать такой трафик. Эти оба процесса хорошо описаны в доках. - рассказываем frox'у приделывать к проходящему контенту запросы к http-кешу и бросать это дело дальше на сквиду. Конфиг frox'а в аттаче. Некоторые но: - frox'у говориться ходить через сквиду (тот уже занимается кешированием контента + шейпингом траффика). т.е. он только как прослойка. из-за этого все качаемое через ftp идет как с хоста 127.0.0.1 (они коннектятся между собой по TCP). Чтобы посмотреть, кто сколько накачал по ftp - надо сопоставлять такие выкачки с логами frox'а (тот учета не ведет, но оставляет, время, источник и место назначения соединения). - frox есть штука несколько нестабильная, порой падающая. Его надо мониторить, чтобы запустить, если упадет. Я его верчу под gdb - надеюсь поймать и посмотреть причину вылета. -- With Best Regards, Denis A. Kulgeyko DK666-UANIC e-mail: [EMAIL PROTECTED] ICQ: 81607525 SMS: [EMAIL PROTECTED] -==- I am Many, We are One ... King Diamond # Configuration file for frox transparent ftp-proxy. # Send SIGHUP after editing and it will be reread. This will fail # completely if we are chrooted and the config file isn't within the # dir we are chrooted to, or if we have dropped priveleges and no # longer have permission to read it! We may also no longer have # permission to bind to device. # Address to listen on - default is 0.0.0.0 # # Listen firewall.localnet Listen 192.168.35.100 # Port to listen on. Must be supplied. # Port 2121 # If specified then bind to this device # BindToDevice eth0 # Specify ranges for local ports to use for outgoing connections and # for sending out in PORT commands. By default these are all between # 4 and 5, but you might want to split them up if you have # complicated firewalling rules. # # ControlPorts 4-40999 # PassivePorts 41000-41999 # ActivePorts 42000-42999 # Number of seconds of no activity before closing session # Defaults to 3600 # Timeout 1800 #Maximum number of processes to fork. # # MaxForks 0 # For debugging -- only one connection may be served. MaxForks 20 # User and group to drop priveliges to. Default is not to drop. # User frox Group frox # Directory to chroot to. Default is not to chroot. Filenames for # other options should be within this directory, but specified # relative to /. # Chroot /usr/local/chroot/frox # Block PORT commands asking data to be sent to ports1024 and # prevent incoming control stream connections from port 20 to # help depend against ftp bounce attacks. Defaults to on. # BounceDefend yes # If true then only accept data connections from the hosts the control # connections are to. Breaks the rfc, and defaults to off. # SameAddress yes # Try to transparently proxy the data connections as well. Not # necessary for most clients, and does increase security risks. Read # README.transdata for details. Defaults to off. # TransparentData yes # File to log to. Default is stderr # # LogFile /dev/null # LogFile /usr/local/lib/frox/frox-log LogFile /var/log/frox.log # File to store PID in. Default is not to. If this file is not within # the Chroot directory then it cannot be deleted on exit, but will # otherwise work fine. # PidFile /var/run/frox.pid # Caching options. There should be at most one CacheModule line, and # Cache lines to give the options for that caching module. CacheModule # is HTTP (rewrites ftp requests as HTTP and sends them to a HTTP # proxy like squid), or local (cache files locally). The relevant # module needs to have been compiled in at compile time. See # FAQ for details. If there are no CacheModule lines then no # caching will be done. # # CacheModule local # Cache Dir /usr/local/lib/frox/cache/ # Cache CacheSize 400 # CacheModule squid Cache HTTPProxy 127.0.0.1:3128 Cache MinCacheSize 65536 # Active -- Passive conversion. If set then all outgoing connections # from the proxy will be passive FTP, regardless of the type of the # connection coming in. This makes firewalling a lot easier. Defaults # to no. # APConv no # Allow non-transparent proxying support. The user can connect # directly to frox, and give his username as [EMAIL PROTECTED]:port or # [EMAIL PROTECTED] Defaults to no # # DoNTP yes # # Access control lists. # # # The format is: ACL Allow|Deny SRC - DST [PORTS] # SRC and DST may be in the form x.x.x.x, x.x.x.x/yy, x.x.x.x/y.y.y.y, # a dns name, or * to match everything. # # PORTS is a list of ports. If specified then the rule
Re: transparent ftp-proxying
Dmitry Glushenok said: в sid есть пакет ftp-proxy, он вытянут из SuSe Proxy Suite, прекрасно работает я вам скажу :) А кешировать чем? -- Ingvarr. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]