FTP Server ProFTPD UA-IX only на FreeBSD

[Sanito 127]

Привет всем.

 

Собственно, хочется поднять subj, а именно ua-ix only ftp server, потому что украинский траффик у нас не сравним по цене с мировым.

 

Что конкретно надо?

 

Есть список ua-ix сетей (предоставляется провайдером по http - банальный текстовый файл).

 

Надо:

- регулярно зачитывать этот файлик;

- обновлять набор allow правил для этих сетей в proftpd.conf;

 

Первая реализация, что приходит в голову - пишем скриптик, который:

1. фетчит список сетей

2. перегенерирует .conf файл

3. перезапускает фтп-сервер

 

Запускаем этот скриптик по крону каждый час/два/четыре - и всё.

 

Плюсы - решена поставленная задача :-)

Минусы - громоздко и (имхо) через ж..., из-за перезапуска сервера будут отваливаться текущие сессии (насчет этого не уверен, хотя параметра типа "reload config" не нашел), лог растет, получается здоровенный конфиг самого сервера и т.д. и т.п.

 

Кто-то делал что-то аналогичное? Может имеет смысл использовать другой фтп-сервер? Какой?

[Гость Guest]

А не проще, раз забить , ограниченый список, сразу , в ipwf и все, кому, нужен будет доступ просто пришлют "дайте ftp" по мылу ?

[Necromant 0]

P.S. и в конце 65534 add deny all from any to any

[Sanito 127]

А не проще, раз забить , ограниченый список, сразу , в ipwf и все, кому, нужен будет доступ просто пришлют "дайте ftp" по мылу ?

Мне не надо проще, мне надо как я написал... Есть список UA-IX сетей, надо открыть им доступ к фтп. Всем остальным - закрыть доступ к ftp (а не к хосту!!!). Плюс - список сетей регулярно обновляется, т.е. его надо динамически обновлять в конфиге.

 

Если данную задачу средствами ProFTPD (либо какого-то другого сервера) решить нельзя - буду искать более простые варианты такие как твой к примеру.

[Necromant 0]

Мне не надо проще, мне надо как я написал... Есть список UA-IX сетей, надо открыть им доступ к фтп. Всем остальным - закрыть доступ к ftp  (а не к хосту!!!). Плюс - список сетей регулярно обновляется, т.е. его надо динамически обновлять в конфиге.

1. зачем так часто обновлять базы, раз в неделю , бу вполне достаточно, не надо страдать маразмом, то что на colocall менятся список каждые 10 мин, это не повод у себя делать тоже самое, основное ядро аудитории , менятся слабо , так что вполне нормально , обновлять раз в 1-2 недели, или добавлять подсеть , по просьбе пользователя

 

2. соотноси нагрузку на proftpd и на ipfw , при нормальтном количестве выложеной инфы (фиьмов / музыки) качать будут достаточно интенсивно.

И нагружать proftpd разбором всего того что приходит , ИМХО глупо, проще сразу обрезать все левое.

ну конечно если есть , лишние деньги, и желание открыть побольше дырок, то можешь делать и так

[ALi_ajar 0]

Дк в чем проблемы аффтор сам написал как делать ... есно через фаервол , под линухом я такое сделал без проблем .. но есть 2-ое граблей !

1. пакет может уйти в ua-ix а вернутся через мир (в данном случае до 1% трафа так как у фтп сильно асимитричный траф)

2. можно с очень малой вероятностю попасть на деньги при изменении таблиц маршрутизации в AS , т.е. в какой-то момент удалленый ип может стать не ua-ix .... но сие ооочень маловероятно ...

 

Да еще, под линухом достаточно прилично падает производительность ... особенно при использовании ipchains... с iptables несколько проше , с наименьшим номером правила наименьшая маска сети ... суть уловили

[Mr.Cool 0]

Кстати насчет того, чтобы обновить конфиг, ребутить сервер не обязательно. Он понимает killall -1

И никакие текущие сессии в этот момент не порвуться.

Я бы ограничения по скорости применял бы в конфиге сервера, а разрешения доступа по украине на основе фаервола.

[Гость Jora]

Да все просто, тянем список сетей, проверям с пред идущим, изменения добавляем или удаляем в ipfw. Вот и все. По такому же принцыпу строиться и маршрутизация в уа-икс.

[XoRe 0]

Есть предложение (не только насчет ftp) вести лог изменения списка украинских сетей.

Или лог сетей просто.

Из этого лога можно будет увидеть, какие сети никогда не вылезают из уа-икс, а какие периодически становятся глобальными.

Так можно получить основной костяк украинских сетей.

Еще можно настроить так: если новая сеть в течение какого-то периодна (недели, месяца) не становилась глобальной, то заносить её в этот костяк.

А если из этого костяка сеть стала глобальной, выкидывать её из списка надежных.

Таким образом получится обновляемый список тех сетей, которые не становятся внешними.

Или становятся, но очень редко.

Это гораздо уменьшает шанс попасть на бабки.

[Гость Jora]

Это 50 на 50, масса причин по которым может рессурс вылетить из Уа.

Самый лучший выход поднять бжп на левых AS. Принемать только уа префиксы и убрать дефолт.

[ALi_ajar 0]

мало кто из провов захочет давать бгп , и то потребуют автономки....

вот для информации не плохой списочек сетей

http://noc.ix.net.ua/ua-list.txt

[Necromant 0]

если проследить пару дней, то список, менется от 950 - 970

т.е. забить ядро 900 подсетей и спать спокойно. Новые провайдеры , с широкополосным доступом повляются не так часто, чтобы каждые 10 минут забивать/ убирать подсети :loop: