Active ftp skrz firewall

Michal Kubecek mike na mk-sys.cz
Pátek Duben 18 15:47:56 CEST 2003


On Fri, Apr 18, 2003 at 12:16:28PM +0200, Miroslav Geisselreiter wrote:
> Právě jsem se s tím taky potýkal a abych to rozchodil, musel jsem přidat
> ještě:
> modprobe ip_nat_ftp

Samozřejmě, zjednodušil jsem to, protože v původním dotazu se psalo
pouze o firewallu. Pokud je tam navíc NAT, je potřeba i ip_nat_ftp.
Modul ip_conntrack_ftp analyzuje komunikaci na řídícím FTP spojení
a podle toho, co vidí, označí určité pakety jako RELATED. Modul
ip_nat_ftp zajistí správný překlad adres pro datové spojení.

> Mimochodem, proč se musí tyto dva moduly (ip_nat_ftp, ip_conntrack_ftp)
> natahovat ručně?

Nejspíš proto, že jádro nemůže vědět, jestli je opravdu chcete používat.
Přeci jen analýza FTP protokolu je určitá zátěž navíc a svým způsobem
i zvýšení bezpečnostního rizika. Proto si každý musí zvážit, jestli mu
podpora aktivního FTP za to stojí. Natažení se samozřejmě dá automatizovat
ve startovacích skriptech.

                                                          Michal Kubeček


Další informace o konferenci Linux