старый ftp-proxy

Перешел на OpenBSD 4.7. Появилась проблема с ftp.
Предыдущий конфиг был такой :
================================================
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"

rdr pass on $int_if inet proto tcp from to port ftp -> 127.0.0.1 port 8021
pass out quick on $ext_if inet proto tcp from $ext_if to any port {21, 20} modulate state flags S/SA queue bulk_out
===============================================
И все классно работало. На 4.7 теперь такой конфиг
===============================================
anchor "ftp-proxy/*"
match in quick on $int_if inet proto tcp from any to port ftp rdr-to 127.0.0.1 port 8021
pass out quick on $ext_if inet proto tcp from $ext_if to any port {21, 20} modulate state flags S/SA queue bulk_out
=============================================
Теперь , если смотреть блокированые пакеты, пока не пропишешь правило
pass out quick on $ext_if inet proto tcp from $ext_if to any modulate state flags S/SA queue bulk_out
все ftp блокируется.Это я чего-то не понимаю, или в семерке все работает по другому?

Аватар пользователя BABUT

предложу

предложу пользовать тэгирование, которое предоставляет ftp-proxy- дабы не забивать голову вопросами, типа "все работает по другому?"

Аватар пользователя varag

bash-4.0# pfctl -vv -sr|grep

bash-4.0# pfctl -vv -sr|grep FTP
@3 pass in log quick on rl0 inet proto tcp from to any port = ftp flags S/SA keep state tag FTP_SERVER rdr-to 127.0.0.1 port 8021
@131 pass out log quick on xl0 inet proto tcp from $ext_if to any flags S/SA keep state queue ftp_out tagged FTP_SERVER
================
переконфигурировал ftp правила. Пхоже тэгирование не пашет.

Аватар пользователя BABUT

из

из работающего(со времён появления match не изменялось):
в rc.conf.local:
ftpproxy_flags="-b 127.0.0.1 -p 2101 -R 192.168.85.20 -P 21 -T ftp-proxy -D 7"
---
в pf.conf:
anchor "ftp-proxy/*"
match in proto tcp from any to (self) port 2101 rdr-to lo0 tag PASS $Q_high
match all tagged ftp-proxy tag PASS $Q_low
..
pass quick all tagged PASS keep state (pflow)
---
в момент работы:
anchor "ftp-proxy/*" all {
anchor "14473.3" all {
match in inet proto tcp from 195.151.6.241 to 195.151.6.116 port = 51314 flags S/SA keep state (max 1) tag ftp-proxy rtable 0 rdr-to 192.168.85.20 port 50542
match out inet proto tcp from 195.151.6.241 to 192.168.85.20 port = 50542 flags S/SA keep state (max 1) tag ftp-proxy rtable 0 nat-to 192.168.85.1
}
}
---
как-то так