Pasivni prenos FTP - co to presne znamena?

Petr Stanek snek na penguin.cz
Čtvrtek Listopad 30 00:08:39 CET 2000


"Ing. Pavel PaJaSoft Janousek" wrote:
> 
>         Zdravim,
> 
>         do dneska jsem mel za to, ze vim, co to je pasivni mod prenosu u FTP,
> lec praxe vyleci cloveka skoro ze vseho..:)
> 
> Takze (overeno na Linux RH 6.2 s tamnim FTP klientem):
> 
> ftp a.b.c provede konekteni na stroj a.b.c port 21, fine
> naloguju se, jako prvni dam 'pass', cimz prepnu FTP do pasivniho rezimu.
> Nyni:
> ls
> a co nevidim...:
> ftp> ls
> 227 Entering Passive Mode (147,251,48,205,238,60)
> 
> Komu se to nechce pocitat jedna se o ftp.linux.cz:60988
> 
> A ja se tazi - chyba je na me strane (opet jsem neco neznal) nebo je
> chyba v implementaci nebo kde? Ja mel za to, ze klient pri pasivnim modu
> neotevira zadny dalsi port a komunikuje primo po std. (tedy 21) - k cemu
> pak mame u aktivniho modu port 20?
> 
> Je mi jasne, ze pak takovy prenos neprojde pres striktni firewall... co
> tedy s tim (nechci zbytecne otevirat nepotrebne porty)? Pro dany stroj
> mam zhruba tato pravidla:
> ACCEPT     *    ------  <stroj>/32           0.0.0.0/0              *
> ->   *
> ACCEPT     tcp  ------  0.0.0.0/0            <stroj>/32             21
> ->   *
> ACCEPT     icmp ------  0.0.0.0/0            <stroj>/32             *
> ->   *
> ACCEPT     udp  ------  0.0.0.0/0            <stroj>/32             53
> ->   *
> REJECT     all  ------  0.0.0.0/0            0.0.0.0/0             n/a
> 
> coz bohuzel pro FTP nestaci ani pro pasivni prenos:-(

Vyzkousejte treba
/sbin/ipchains -A input -s localhost -i lo -j ACCEPT
/sbin/ipchains -A input -s 192.168.0.0/16 -i eth1 -j ACCEPT
/sbin/ipchains -A input -p TCP --source-port 20 -j ACCEPT               
/sbin/ipchains -A input -p TCP --source-port 21 -j ACCEPT               
/sbin/ipchains -A input -p UDP --source-port 53 -j ACCEPT              
/sbin/ipchains -A input -p TCP --source-port 53 -j ACCEPT              
/sbin/ipchains -A input -j DENY -l

Funguje i pasivni FTP, ale v pripade pouziti Squida chce posledni verzi
a
povolit v konfiguraci pasivni prenos.

S uctou Snek
-----------------------------------------------------------------------
'Snek' Petr Stanek                          http://www.penguin.cz/~snek
Compaq ASE, Linux LCP                        Tel.: ++420 (0)69 613 4160
17. listopadu 24                              GSM: ++420 (0)604 2397 11
736 01 Havirov-Podlesi                           mailto:snek na penguin.cz
-----------------------------------------------------------------------
Server pro podporu UNIXu     Debian GNU Linux     http://www.penguin.cz


Další informace o konferenci Linux