Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Очень сложный вопрос :( Вот это: 14.11.05 21:33 Число просмотров: 3291
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение
> активного режима FTP от клиентов, не делая
> add pass all from any to me dst-port 1024-65535 in via lnc0
> setup keep-state ?
> Можно ли как-то сделать так, чтобы всё это множество портов
> открывалось только после установления управляющего
> ftp-соединения (в идеале, конечно, после успешной
> авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А
> ipfw2 не может что ли?
Очень сложный вопрос :( Вот это:
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state
- ояень плохое решение ИМХО. После установки ftp-соединения все твои порты>1024 будут открытывсема не только клиенту.
Варианты решения:
1. Использовать на фаерволе отдельный instance natd, который не делает редиректов, а только punch_fw для ftp сессий.
2. Использовать на сервере FTP демон который умеет настраивать свой data-port range, настроить его на 30000-40000 (например) и открыть этот диапазон без вопросов всем и всегда.
Мы в свое время выбрали второе. потому что была такая возможность. :))) <Реклама!> и заюзали proftpd
желаю удачи - напиши потом плиз что решил.
|
|
<sysadmin>
|
[FreeBSD] ipfw2, разрешить пассивный FTP, динамические правила 14.11.05 21:03
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение активного режима FTP от клиентов, не делая
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state ?
Можно ли как-то сделать так, чтобы всё это множество портов открывалось только после установления управляющего ftp-соединения (в идеале, конечно, после успешной авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А ipfw2 не может что ли?
|
|
Очень сложный вопрос :( Вот это: 14.11.05 21:33
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение
> активного режима FTP от клиентов, не делая
> add pass all from any to me dst-port 1024-65535 in via lnc0
> setup keep-state ?
> Можно ли как-то сделать так, чтобы всё это множество портов
> открывалось только после установления управляющего
> ftp-соединения (в идеале, конечно, после успешной
> авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А
> ipfw2 не может что ли?
Очень сложный вопрос :( Вот это:
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state
- ояень плохое решение ИМХО. После установки ftp-соединения все твои порты>1024 будут открытывсема не только клиенту.
Варианты решения:
1. Использовать на фаерволе отдельный instance natd, который не делает редиректов, а только punch_fw для ftp сессий.
2. Использовать на сервере FTP демон который умеет настраивать свой data-port range, настроить его на 30000-40000 (например) и открыть этот диапазон без вопросов всем и всегда.
Мы в свое время выбрали второе. потому что была такая возможность. :))) <Реклама!> и заюзали proftpd
желаю удачи - напиши потом плиз что решил.
|
| |
Докладываю. 31.01.06 14:23
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
Пошёл по лёгкому пути. Поставил proftзd и задал там диапазон портов для пассивного соединения.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
