ftp server za maskaradou, portfw

[David Tok]

On Tue, 4 Dec 2001, Petr Zapadlo wrote:

:Dobry den
:Mam takovy problem, za maskaradou schovany ftp server, na nej forwarduji 
:prichozi popzadavky:
:ipmasqadm portfw -a -P tcp -L internetova_ip 21 -R vnitrni_ip 21
:ipmasqadm portfw -a -P tcp -L internetova_ip 20 -R vnitrni_ip 20
:
:Pokud navazuji spojeni z pc bez paketovych filtru, tak se spojeni navaze (i 
:datove).
:Pokud se o totez pokousim z linuxu, kde mam nastaveny vstupni filtry a 
:zablokovano vse (mimo jine sluzby), krome paketu jdoucich z portu 20 a21 tak 
:se spojeni  nenavaze.
:Pochopitelne protoze na linuxu na kterem portforwarduji to ftp ve vypisu 
:maskaradovanych spojeni vidim:
:TCP  01:27.23 xxxxx.cz      yyyyy.cz ftp (21) -> 61555
:TCP  14:59.90 xxxxx.cz      yyyyy.cz ftp-data (61780) -> 61549
:
:Coz pro me znamena, ze ftp ridici kanal jede spravne z portu 21 , ale datovy 
:kanal je zamaskaradovan a dochazi z portu 61780 a tudiz mi ho ten klientsky 
:linux na vstupnich filtrech zahodi.

to je proto, protoze ftp pri aktivnim prenosu chova tak, ze na na ridici 
kanal se posle klientem pozadavek, na serveru sprava volnych portu priradi 
serveru docasny (neprivilegovany port) a z toho se pak ftp server snazi 
navazat spojeni s klientem na jeho docasny port, ktery poslal serveru v 
pozadavku. (klient je vlastne "serverem" a server se na nej pripojuje).

:Je to tak?
:
:Jak se da zaridit, aby i datovy ftp kanal sel z portu 20 a nebyl s timto 
:problem?

passivni mod, klient bude otevirat i datovy spoj... v passivnim modu se 
ftp chova da se rict jako www server na portu 21. (Samozrejme obrazne receno)

:Jestli jsem v dokumentaci nekde neco prehledl, klidne me tam odkazte.
:


-- david tok