iptables a pasivni FTPS
Jan Šembera
jan.sembera na flexible.cz
Neděle Prosinec 7 21:09:00 CET 2003
On Sun, Dec 07, 2003 at 08:52:49PM +0100, Honza Houstek wrote:
>> Ja se _domnivam_, ze sftp(115/tcp) navaze spojeni a nema zadne jine pro
>> prenos dat, ale data pri stahovani tecou prave po tomto jednom spojeni.
>> Zkuste tcpdump nebo iptables -j LOG pred kazdym DROP/REJECT.
> Nepletme si sftp a ftps. Ftps funguje hodne podobne jako ftp, tj. ma
> kontrolni a datove spojeni a to datove lze navazat nekolika zpusoby.
> Nejsem si uplne jisty, ale mam takovy dojem, ze ip_conntrack_ftp mi na
> ftps zabiral (mozna jen v nejake konkretni konfiguraci). Zkusim se na to
> trochu podivat, kdyztak by nemel byt vetsi problem si ten helper trochu
> priohnout, aby krome ftp zvladal i ftps.
Obavam se, ze to bohuzel nebude tak jednoduche ten helper 'priohnout'. Pokud
si dobre pamatuji, tak ftp helper funguje tak, ze prochazi ridici ftp
spojeni a z nich vykusuje prikazy PORT a PASV a podle nich nastavuje
stav vybranym spojenim na RELATED. Problem je ten, ze v pripade ftps mate
ridici konekci sifrovanou, tudiz neexistuje dostatecne dobry zpusob, jak
PASV a PORT prikazy detekovat a porty otvirat. Nenapada me, jak by se
dal helper modifikovat aby datova spojeni propoustel. Snad jedine otevrit
porty >1024 celemu svetu, pripadne napsat nejaky modul, ktery by toto delal
jen pro lidi, kteri maji zrovna existujici spojeni s ftp(s) serverem, ale
moc ciste neni ani jedno.
Další informace o konferenci Linux