![[banner]](/images/banners/unixro.gif)
![[banner]](/images/banners/progra.png)
![[banner]](/images/banners/undeadly.png)
Firewall si access la FTP
Submitted by Baiazid on Wed, 08/09/2006 - 07:46.
Am dat de o treaba urata.
Eu limitez intrarile pe porturi si dau liber la output.
CAZ1: Server FTP pe server
* vrea pe langa portul 21, port>49000 (parca) pt passive!!!
Asta imi strica regulile de firewall, il fac prea permisiv
CAZ2: Calculatorul Server vrea sa downloadeze un port/pachet din ftp.freebsd....
* vrea iarasi 100.000 de porturi la intrare pe interfata externa
Ce pot sa ii fac?
»
- Login to post comments
Firewall si access la FTP
CAZ1: Poti sa setezi serverul ftp sa asculte pe o raza mai mica, sa zicem 50 de porturi, dar astfel limitezi numarul de conexiuni simultane. Altfel n-ai cum.
CAZ2: Pui clientul in mod pasiv, astfel el se conecteaza la server
Protocolul ftp a fost facut demult de tot, si nu a fost proiectat sa fie filtrat sau sa functioneze cu NAT, etc. Deci cam tot ce poti sa faci e sa deschizi porturile alea si gata...
Vezi si aici
http://openbsd.org/faq/pf/ftp.html
Firewall si access la FTP
Cazul 2 e cazul in care scriu comanda: make fetch!
Nu am treaba cu NAT. Natul e pt calculatoarele din retea. Aici e vorba de propriul update al serverului :(. Mi se pare ca lucreaza cu wget sau fetch.
E mai complicat decat as fi crezut.
Ideea ca imi trebuie FTP pe interfata interna (cea spre LAN) si asta nu e o problema de securitate.
Problema de securitate mi se pare cea in care serverul trebuie sa se conecteze la *.*.*.*:21.
21 - e simplu de lasat sa treaca.
Dupa aia fiecare pachetel vine pe alt port :((
Firewall si access la FTP
Pai tocmai asta e. Setezi fetch sa foloseasca in modul pasiv, iar conexiunea se face in felul urmator:
1. Clientul se conecteaza la server pe portul 21
2. Clientul ii spune serverului sa deschida un port aleatoriu
3. Clientul se conecteaza la server pe portul acela si incepe transferul de date.
Spre deosebire de modul activ in care clientul trebuie sa deschida un port ca serverul sa se conecteze la el.
Deci asta nu reprezinta o problema, trebuie doar sa permiti clientului sa se conecteze pe porturile acelea (adica >1024).
Firewall si access la FTP
Sa vad de unde se face asta cu fetch ca ... make fetch e un script
Firewall si access la FTP
Nu stiu exact cum modifici sistemul de porturi, dar fetch parca avea un flag -p, vezi man fetch.
Alta idee, daca folosesti ipfw, poti sa ii dai acces unei anumite aplicatii la toate porturile, ca un fel de suid :) E in handbook un exemplu cu cvsup in tutorialul ipfw.
Firewall si access la FTP
Daca avea si PF asta era bine :p