> Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение > активного режима FTP от клиентов, не делая > add pass all from any to me dst-port 1024-65535 in via lnc0 > setup keep-state ? > Можно ли как-то сделать так, чтобы всё это множество портов > открывалось только после установления управляющего > ftp-соединения (в идеале, конечно, после успешной > авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А > ipfw2 не может что ли?
Очень сложный вопрос :( Вот это:
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state
- ояень плохое решение ИМХО. После установки ftp-соединения все твои порты>1024 будут открытывсема не только клиенту.
Варианты решения:
1. Использовать на фаерволе отдельный instance natd, который не делает редиректов, а только punch_fw для ftp сессий.
2. Использовать на сервере FTP демон который умеет настраивать свой data-port range, настроить его на 30000-40000 (например) и открыть этот диапазон без вопросов всем и всегда.
Мы в свое время выбрали второе. потому что была такая возможность. :))) <Реклама!> и заюзали proftpd
Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение активного режима FTP от клиентов, не делая
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state ?
Можно ли как-то сделать так, чтобы всё это множество портов открывалось только после установления управляющего ftp-соединения (в идеале, конечно, после успешной авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А ipfw2 не может что ли?
Очень сложный вопрос :( Вот это:14.11.05 21:33 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> Итак, имеется ipfw2 на FreeBSD. Как разрешить соединение > активного режима FTP от клиентов, не делая > add pass all from any to me dst-port 1024-65535 in via lnc0 > setup keep-state ? > Можно ли как-то сделать так, чтобы всё это множество портов > открывалось только после установления управляющего > ftp-соединения (в идеале, конечно, после успешной > авторизации)? Искал, нашёл что-то про pf, ipf и iptables. А > ipfw2 не может что ли?
Очень сложный вопрос :( Вот это:
add pass all from any to me dst-port 1024-65535 in via lnc0 setup keep-state
- ояень плохое решение ИМХО. После установки ftp-соединения все твои порты>1024 будут открытывсема не только клиенту.
Варианты решения:
1. Использовать на фаерволе отдельный instance natd, который не делает редиректов, а только punch_fw для ftp сессий.
2. Использовать на сервере FTP демон который умеет настраивать свой data-port range, настроить его на 30000-40000 (например) и открыть этот диапазон без вопросов всем и всегда.
Мы в свое время выбрали второе. потому что была такая возможность. :))) <Реклама!> и заюзали proftpd
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
