ftp server za maskaradou, portfw
Petr Zapadlo
zapadlo na support.melzer.cz
Úterý Prosinec 4 14:26:36 CET 2001
Dne út 4. prosinec 2001 13:48 jste napsal(a):
> On Tue, 4 Dec 2001, Petr Zapadlo wrote:
> :Dekuji za odpoved, ale:
> :jak to udelat abych klienty neomezoval jen na passivni rezim (nektere ftp
> :servery maji s passivem problem) a aby v tom nehralo roli filtrovani na
> :strane klienta?
>
> No tak to se Vam zrejme nepodari bez upravy ftp serveru... BTW jedine mne
> napada nastavit mu direktivu passive ports na 20, ale nejsem si jist, zda
> je ftp serveru povoleno alokovat i privilegovany port. Kazdopadne by jste
> timto omezil uzivatele na 1 pripojeni k serveru. (asi urcite hloupost)
>
> Nestacilo by pak u klientu povolit nejen 20 ale pak i onen rozsah
> 65500-65520 ?
Asi si nerozumime, mam
FTP server-------------linux box ------------------internet--------------ftp
klient
Linux box ma jednu sitovku do internetu s jednu do vnitrni site. Je na nem
rozbehla maskarada (jadro 2.2.19, ipchains -F -i eth1 -j MASQ, tj 1:N) a
nejake filtry.
Problem vidim v tom, ze odchozi pakety z FTP serveru datoveho kanalu odchazi
z portu 20, ale maskarada je soupne nekam na 60000 a tudiz je filtr na ftp
klientovi zahodi.
Povolit vysoke porty na ftp klientovi je sice mozne, ale tim naprosto
degraduji ten jeho filtr, ale stejne se ke mne na ftp server nedostane nikdo
cizi kdo podobne veci nema povolene a to predpokladam ze nema nikdo.
Viz napr :
TCP 01:27.23 xxx.cz yyyy.cz ftp (21) -> 61555
TCP 14:59.90 xxx.cz yyyy.cz ftp-data (61780) -> 61549
Tohle je vypis z linux boxu po zadani ipchains -L -M a vypisuje aktivni
masakaradovana spojeni.
Prvni radek je z pocitac xxx (ftp server) posila klientovi ridici kanal a
maskarada ho posila z portu 21!!!! klientovi na port 61555.
Druhy radek je pro datovy kanal, ale z maskarada meni port 20 na port 61780 a
posila ho na port 61549 klientovi.
Proc to v jednom pripade jde a v druhem ne?
Jak zaridit aby to slo i v pripade datoveho kanalu?
Diky
--
Petr "Zapik" Zapadlo
Ing. Petr Zapadlo
Melzer s.r.o.
zapadlo na melzer.cz
"Černé díry jsou tam, kde Bůh dělil nulou"
-- Steven Wright one Liners
Další informace o konferenci Linux