Добрый день всем!

Проблема: при установке любой программы из портов на FreeBSD 8.2 (например, Samba 3.4, 3.5) на этапе загрузке архивов по протоколу ftp появляется ошибка Network is unreachable (архивы по http качаются без проблем):

=> Attempting to fetch ftp://ftp.samba.org/pub/tdb//tdb-1.2.1.tar.gz
fetch: ftp://ftp.samba.org/pub/tdb/tdb-1.2.1.tar.gz: Network is unreachable

Зайти на указанный ftp с этой же FreeBSD "вручную" - без проблем:

fw1# ftp ftp.samba.org
Trying 216.83.154.106...
Connected to fn.samba.org.
220 (vsFTPd 2.2.2)
Name (ftp.samba.org:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

Судя по удачному "ручному" ftp проблема не в фаерволе (ipfilter). На всякий случай добавил правило pass in quick on re1 all - результат тот же.

Доступ к фтп из локальной сети за FreeBSD-фаерволом тоже работает.
Ошибки появляются ТОЛЬКО при установке из портов.
Режим ftp (из setenv): FTP_PASSIVE_MODE=YES

Правило ftp из ipf.rules:
---------------------------------------------------------------------------------
# Allow OUT gateway and LAN users' non-secure FTP (both passive and active)
# This function uses the IPNAT built-in FTP proxy function coded in the
# /etc/ipnat.rules file to make this single rule function correctly.

pass out quick on re1 proto tcp from any to any port = 21 flags S keep state
---------------------------------------------------------------------------------

IPNAT.rules:

map re0 10.3.0.0/16->0/32 proxy port 21 ftp/tcp
map re0 10.3.0.0/16->0/32 portmap tcp/udp auto
map re0 10.3.0.0/16->0/32


В чём может быть проблема?

Заранее всем спасибо!

vkle,

"А канал данных то для фтп проброшен через нат?" - согласно документации по ipfilter всей обработкой фтп-траффика управляет строка map re0 10.3.0.0/16->0/32 proxy port 21 ftp/tcp

...и, судя по клиентам локальной сети, по фтп всё качается хорошо. Вот если это всё-таки проблема самого ipfilter-a, тогда нехорошо... у меня весь фаервол на нём построен. Сейчас всё заново переставляю - буду проверять...

vkle,

...ну да, только в IPFilter данная строка совместно с единственным правилом в ipf.rules управляют всем процессом ftp (как сказано в документации http://www.freebsd.org/doc/handbook/firewalls-ipf.html

31.5.21.2 IPNAT FTP Filter Rules

Only one filter rule is needed for FTP if the NAT FTP proxy is used.).

И это правило действительно отлично работает на клиентах ЗА фаерволом, но, почему-то, не на нём самом...