Kernel 2.4.26 a aktivní ftp
Jan Houstek
houstek na utf.mff.cuni.cz
Pondělí Květen 17 20:59:30 CEST 2004
On Mon, May 17, 2004 at 05:58:49PM +0200, volesak na aristia.cz wrote:
> Jedna se opravdu o aktivni FTP?
> Jestli ano, zkusil bych tcpdumpem (lepe etherealem) chytat porty tcp/20 a
> tcp/21, co rekne?
> S aktivnim ftp jsem problem nikdy nemel. Naopak u pasivniho jsem musel
> doplnovat:
Na strane klienta je problematicke aktivni FTP, protoze je treba povolit
konexi ze strany serveru (a pripadne ji patricne odnatovat, je-li klient
za natem). Toto resi ty helpery do iptables.
Na strane serveru je zase problematicke pasivni FTP. Ovsem to se da
zvladat o neco lepe, bezi-li napr. FTP daemon pod rootem, tak muze jako
dst port pro datove spojeni pouzit 20/tcp, ktery je pro tyto ucely
vyhrazen. Tento port se pak muze nechat na firewallu otevreny pausalne
(misto dynamickeho vytvareni okenek pomoci netfilterovych helperu). V
takovem pripade ovsem byva vhodne v tom serveru zajistit, aby akceptoval
datove spojeni jen ze stejne IP adresy, ze ktere prisla kontrolni konexe.
A ani to neni stoprocentni, legitimni uzivatel a utocnik mohou casto
pouzivat stejnou IP adresu (proxy, nat).
-- Honza Houstek
Další informace o konferenci Linux