Pasivni prenos FTP - co to presne znamena?
Petr Stanek
snek na penguin.cz
Čtvrtek Listopad 30 00:08:39 CET 2000
"Ing. Pavel PaJaSoft Janousek" wrote:
>
> Zdravim,
>
> do dneska jsem mel za to, ze vim, co to je pasivni mod prenosu u FTP,
> lec praxe vyleci cloveka skoro ze vseho..:)
>
> Takze (overeno na Linux RH 6.2 s tamnim FTP klientem):
>
> ftp a.b.c provede konekteni na stroj a.b.c port 21, fine
> naloguju se, jako prvni dam 'pass', cimz prepnu FTP do pasivniho rezimu.
> Nyni:
> ls
> a co nevidim...:
> ftp> ls
> 227 Entering Passive Mode (147,251,48,205,238,60)
>
> Komu se to nechce pocitat jedna se o ftp.linux.cz:60988
>
> A ja se tazi - chyba je na me strane (opet jsem neco neznal) nebo je
> chyba v implementaci nebo kde? Ja mel za to, ze klient pri pasivnim modu
> neotevira zadny dalsi port a komunikuje primo po std. (tedy 21) - k cemu
> pak mame u aktivniho modu port 20?
>
> Je mi jasne, ze pak takovy prenos neprojde pres striktni firewall... co
> tedy s tim (nechci zbytecne otevirat nepotrebne porty)? Pro dany stroj
> mam zhruba tato pravidla:
> ACCEPT * ------ <stroj>/32 0.0.0.0/0 *
> -> *
> ACCEPT tcp ------ 0.0.0.0/0 <stroj>/32 21
> -> *
> ACCEPT icmp ------ 0.0.0.0/0 <stroj>/32 *
> -> *
> ACCEPT udp ------ 0.0.0.0/0 <stroj>/32 53
> -> *
> REJECT all ------ 0.0.0.0/0 0.0.0.0/0 n/a
>
> coz bohuzel pro FTP nestaci ani pro pasivni prenos:-(
Vyzkousejte treba
/sbin/ipchains -A input -s localhost -i lo -j ACCEPT
/sbin/ipchains -A input -s 192.168.0.0/16 -i eth1 -j ACCEPT
/sbin/ipchains -A input -p TCP --source-port 20 -j ACCEPT
/sbin/ipchains -A input -p TCP --source-port 21 -j ACCEPT
/sbin/ipchains -A input -p UDP --source-port 53 -j ACCEPT
/sbin/ipchains -A input -p TCP --source-port 53 -j ACCEPT
/sbin/ipchains -A input -j DENY -l
Funguje i pasivni FTP, ale v pripade pouziti Squida chce posledni verzi
a
povolit v konfiguraci pasivni prenos.
S uctou Snek
-----------------------------------------------------------------------
'Snek' Petr Stanek http://www.penguin.cz/~snek
Compaq ASE, Linux LCP Tel.: ++420 (0)69 613 4160
17. listopadu 24 GSM: ++420 (0)604 2397 11
736 01 Havirov-Podlesi mailto:snek na penguin.cz
-----------------------------------------------------------------------
Server pro podporu UNIXu Debian GNU Linux http://www.penguin.cz
Další informace o konferenci Linux