VS> А какой firewall из опенсорсных, справедливости ради, умеет хотя бы ftp? Hе VS> nat, а именно firewall.
Если у тебя ftp-клиент и пассивный режим, то обычно поддержки в firewall особой не требуется. Если ftp-клиент и активный режим и входящие коннекты по умолчанию запрещены, то с ipfw можешь сделать следующее.
ipfw нынче умеет разные типы таблиц (table), например таблицы для матчинга отдельный flows:
ipfw table 12 create type flow:proto,src-ip,dst-port ipfw add 1640 allow ip from any to any flow 'table(12)' in recv em0
Остаётся только динамически добавлять/удалять в таблицу параметры потоков: ipfw table 12 add tcp,$ip,$port
Из коробки такой добавлялки вроде бы нету, но на практике её легко приделать: штатный ftpd пишет в лог строчки типа LOGIN FROM 1.1.1.1 при создании сессии и их можно ловить через syslog.conf:
ftp.* |/usr/local/adm/ftpmon.sh
И скриптом добавлять в таблицу при начале сессии/удалять при окончании.
Hу или в код ftp-сервера дописать чуток, чтобы сам в таблицу сливал.
При большом желании копаться в ядре можно и ng-ноду слепить, чтобы сама парсила протокол и лазила в таблицы ipfw.
