ftp server za maskaradou, portfw

David Tok theo na coolnet.cz
Úterý Prosinec 4 14:31:14 CET 2001 

On Tue, 4 Dec 2001, Petr Zapadlo wrote:

:Dne út  4. prosinec 2001 13:48 jste napsal(a):
:> On Tue, 4 Dec 2001, Petr Zapadlo wrote:
:> :Dekuji za odpoved, ale:
:> :jak to udelat abych klienty neomezoval jen na passivni rezim (nektere ftp
:> :servery maji s passivem problem) a aby v tom nehralo roli filtrovani na
:> :strane  klienta?
:>
:> No tak to se Vam zrejme nepodari bez upravy ftp serveru... BTW jedine mne
:> napada nastavit mu direktivu passive ports na 20, ale nejsem si jist, zda
:> je ftp serveru povoleno alokovat i privilegovany port. Kazdopadne by jste
:> timto omezil uzivatele na 1 pripojeni k serveru. (asi urcite hloupost)
:>
:> Nestacilo by pak u klientu povolit nejen 20 ale pak i onen rozsah
:> 65500-65520 ?
:
:Asi si nerozumime, mam
:
:FTP server-------------linux box ------------------internet--------------ftp 
:klient
:
:Linux box ma jednu sitovku do internetu s jednu do vnitrni site. Je na nem 
:rozbehla maskarada (jadro 2.2.19, ipchains -F -i eth1  -j MASQ, tj 1:N) a 
:nejake filtry.
:
:Problem vidim v tom, ze odchozi pakety z FTP serveru datoveho kanalu odchazi 
:z portu 20, ale maskarada je soupne nekam na 60000 a tudiz je filtr na ftp 
:klientovi zahodi.
:Povolit vysoke porty na ftp klientovi je sice mozne, ale tim naprosto 
:degraduji ten jeho filtr, ale stejne se ke mne na ftp server nedostane nikdo 
:cizi kdo podobne veci nema povolene a to predpokladam ze nema nikdo.
:
:Viz napr :
:TCP  01:27.23 xxx.cz      yyyy.cz ftp (21) -> 61555
:TCP  14:59.90 xxx.cz      yyyy.cz ftp-data (61780) -> 61549
:Tohle je vypis z linux boxu po zadani ipchains -L -M a vypisuje aktivni 
:masakaradovana spojeni.
:Prvni radek je z pocitac xxx (ftp server) posila klientovi ridici kanal a 
:maskarada ho posila z portu 21!!!! klientovi na port 61555.
:Druhy radek je pro datovy kanal, ale z maskarada meni port 20 na port 61780 a 
:posila ho na port 61549 klientovi.
:
:Proc to v jednom pripade jde a v druhem ne?
:Jak zaridit aby to slo i v pripade datoveho kanalu?
:

a co nastavit odchozi mashkaradu pouze na podsit napr. 10.0.0.0/8 a na ftp 
serveru menit zdrojovou adresu na portu 20 (21) na venkovni IP adresu 
firewallu? Je to sice prasarna, ale melo by to projit a mashquarada by to 
mela ignorovat. Nevim jestli to pujde v ipchains (ipfwadm...) ale na 
iptables to urcite de. 

-- david tok

Další informace o konferenci Linux