ftp server za maskaradou, portfw

Petr Zapadlo zapadlo na support.melzer.cz
Úterý Prosinec 4 14:26:36 CET 2001


Dne út  4. prosinec 2001 13:48 jste napsal(a):
> On Tue, 4 Dec 2001, Petr Zapadlo wrote:
> :Dekuji za odpoved, ale:
> :jak to udelat abych klienty neomezoval jen na passivni rezim (nektere ftp
> :servery maji s passivem problem) a aby v tom nehralo roli filtrovani na
> :strane  klienta?
>
> No tak to se Vam zrejme nepodari bez upravy ftp serveru... BTW jedine mne
> napada nastavit mu direktivu passive ports na 20, ale nejsem si jist, zda
> je ftp serveru povoleno alokovat i privilegovany port. Kazdopadne by jste
> timto omezil uzivatele na 1 pripojeni k serveru. (asi urcite hloupost)
>
> Nestacilo by pak u klientu povolit nejen 20 ale pak i onen rozsah
> 65500-65520 ?

Asi si nerozumime, mam

FTP server-------------linux box ------------------internet--------------ftp 
klient

Linux box ma jednu sitovku do internetu s jednu do vnitrni site. Je na nem 
rozbehla maskarada (jadro 2.2.19, ipchains -F -i eth1  -j MASQ, tj 1:N) a 
nejake filtry.

Problem vidim v tom, ze odchozi pakety z FTP serveru datoveho kanalu odchazi 
z portu 20, ale maskarada je soupne nekam na 60000 a tudiz je filtr na ftp 
klientovi zahodi.
Povolit vysoke porty na ftp klientovi je sice mozne, ale tim naprosto 
degraduji ten jeho filtr, ale stejne se ke mne na ftp server nedostane nikdo 
cizi kdo podobne veci nema povolene a to predpokladam ze nema nikdo.

Viz napr :
TCP  01:27.23 xxx.cz      yyyy.cz ftp (21) -> 61555
TCP  14:59.90 xxx.cz      yyyy.cz ftp-data (61780) -> 61549
Tohle je vypis z linux boxu po zadani ipchains -L -M a vypisuje aktivni 
masakaradovana spojeni.
Prvni radek je z pocitac xxx (ftp server) posila klientovi ridici kanal a 
maskarada ho posila z portu 21!!!! klientovi na port 61555.
Druhy radek je pro datovy kanal, ale z maskarada meni port 20 na port 61780 a 
posila ho na port 61549 klientovi.

Proc to v jednom pripade jde a v druhem ne?
Jak zaridit aby to slo i v pripade datoveho kanalu?

Diky


-- 
Petr "Zapik" Zapadlo

Ing. Petr Zapadlo
Melzer s.r.o.
zapadlo na melzer.cz
"Černé díry jsou tam, kde Bůh dělil nulou"
	-- Steven Wright one Liners



Další informace o konferenci Linux