информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100 		За кого нас держат?Все любят медГде водятся OGRы
BugTraq.Ru
 Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный сбой Azure и других сервисов... 
 Серьезный сбой AWS положил множество... 
 Фишинговая атака на Python-разработчиков 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
[FreeBSD] ipfw2, разрешить пассивный FTP, динамические правила 14.11.05 21:03  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение активного режима FTP от клиентов, не делая
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state ?
Можно ли как-то сделать так, чтобы всё это множество портов открывалось только после установления управляющего ftp-соединения (в идеале, конечно, после успешной авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А ipfw2 не может что ли?
Очень сложный вопрос :( Вот это: 14.11.05 21:33  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение
> активного режима FTP от клиентов, не делая
> add pass all from any to me dst-port 1024-65535 in via lnc0
> setup keep-state ?
> Можно ли как-то сделать так, чтобы всё это множество портов
> открывалось только после установления управляющего
> ftp-соединения (в идеале, конечно, после успешной
> авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А
> ipfw2 не может что ли?

Очень сложный вопрос :( Вот это:
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state
- ояень плохое решение ИМХО. После установки ftp-соединения все твои порты>1024 будут открытывсема не только клиенту.

Варианты решения:
1. Использовать на фаерволе отдельный instance natd, который не делает редиректов, а только punch_fw для ftp сессий.
2. Использовать на сервере FTP демон который умеет настраивать свой data-port range, настроить его на 30000-40000 (например) и открыть этот диапазон без вопросов всем и всегда.
Мы в свое время выбрали второе. потому что была такая возможность. :))) <Реклама!> и заюзали proftpd

желаю удачи - напиши потом плиз что решил.
Докладываю. 31.01.06 14:23  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Пошёл по лёгкому пути. Поставил proftзd и задал там диапазон портов для пассивного соединения.
1

Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach