ftp server za maskaradou, portfw
David Tok
theo na coolnet.cz
Úterý Prosinec 4 12:44:19 CET 2001
On Tue, 4 Dec 2001, Petr Zapadlo wrote:
:Dobry den
:Mam takovy problem, za maskaradou schovany ftp server, na nej forwarduji
:prichozi popzadavky:
:ipmasqadm portfw -a -P tcp -L internetova_ip 21 -R vnitrni_ip 21
:ipmasqadm portfw -a -P tcp -L internetova_ip 20 -R vnitrni_ip 20
:
:Pokud navazuji spojeni z pc bez paketovych filtru, tak se spojeni navaze (i
:datove).
:Pokud se o totez pokousim z linuxu, kde mam nastaveny vstupni filtry a
:zablokovano vse (mimo jine sluzby), krome paketu jdoucich z portu 20 a21 tak
:se spojeni nenavaze.
:Pochopitelne protoze na linuxu na kterem portforwarduji to ftp ve vypisu
:maskaradovanych spojeni vidim:
:TCP 01:27.23 xxxxx.cz yyyyy.cz ftp (21) -> 61555
:TCP 14:59.90 xxxxx.cz yyyyy.cz ftp-data (61780) -> 61549
:
:Coz pro me znamena, ze ftp ridici kanal jede spravne z portu 21 , ale datovy
:kanal je zamaskaradovan a dochazi z portu 61780 a tudiz mi ho ten klientsky
:linux na vstupnich filtrech zahodi.
to je proto, protoze ftp pri aktivnim prenosu chova tak, ze na na ridici
kanal se posle klientem pozadavek, na serveru sprava volnych portu priradi
serveru docasny (neprivilegovany port) a z toho se pak ftp server snazi
navazat spojeni s klientem na jeho docasny port, ktery poslal serveru v
pozadavku. (klient je vlastne "serverem" a server se na nej pripojuje).
:Je to tak?
:
:Jak se da zaridit, aby i datovy ftp kanal sel z portu 20 a nebyl s timto
:problem?
passivni mod, klient bude otevirat i datovy spoj... v passivnim modu se
ftp chova da se rict jako www server na portu 21. (Samozrejme obrazne receno)
:Jestli jsem v dokumentaci nekde neco prehledl, klidne me tam odkazte.
:
-- david tok
Další informace o konferenci Linux