forum.opennet.ru - "ftp и ipfw" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ftp и ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ftp и ipfw"
Сообщение от pablo (??) on 05-Май-05, 17:32 (MSK)
Добрый день. Подскажите как правильно решить проблему. Существует железяка на которой стоит ftp сервер. ОС - FreeBSD 5.3-RELEASE-p10 ftp сервер - vsftpd-2.0.1 Как правильно настроить firewall для для того чтобы клиенты коннектились в passive режиме? Проблема осложняеться тем что хочеться использовать фильтрацию по состояниям (keep-state в ipfw). После усиленного тугугла нашел следующие варианты: 1. Разрешить средствами ipfw доступ к конкретному uid. например: add pass ip from any to me uid <ftp_server_uid> Однако это не работает поскольку в vsftpd порт для передачи данных открываеться от uid пользователя под которым осуществлен вход. 2. Ограничить область используемых ftp сервером портов и в firewall открыть только их. например: vsftpd.conf: pasv_min_port=50000 pasv_max_port=60000 ipfw: pass tcp from any to me 50000-60000 Тоже не особо прельшает... держать такую кучу портов открытыми... Неужели нет других вариантов?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ftp и ipfw, QeV, 23:23 , 05-Май-05, (1)
- ftp и ipfw, 80286 20Mhz bez soprocessora, 06:55 , 06-Май-05, (2)
  - ftp и ipfw, pablo, 11:01 , 06-Май-05, (4)
- ftp и ipfw, pablo, 10:56 , 06-Май-05, (3)
  - ftp и ipfw, 80286 20Mhz bez soprocessora, 11:09 , 06-Май-05, (5)
    - ftp и ipfw, pablo, 11:29 , 06-Май-05, (6)
      - ftp и ipfw, 80286 20Mhz bez soprocessora, 12:16 , 06-Май-05, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ftp и ipfw"

Сообщение от QeV on 05-Май-05, 23:23  (MSK)

Ты вообще понимаешь как работает активный и пассивный режимы фтп???
открывай 21 на входящие соединения, 20 ( для активного соединений) - на исход. В фтп сервере выстави в настройках порт для пассивных соединений (например 3333) и откррой его на входящие соединения.
И будет тебя ЩастьЕ

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ftp и ipfw"

Сообщение от 80286 20Mhz bez soprocessora on 06-Май-05, 06:55  (MSK)

про варианты с портами 50000-60000 всё правильно,
только на твой вопрос - "зачем держать столько портов открытым?":
ответ: сколько одновременных соединений надо -> столько и открывай.
мб: 30000-30033 => 33 одновременных коннекта (на серваке ессно, для всех)
к тому же (как сам понимаешь) эти порты открываются только для общепринятых браузеров + фтп клиентов. FAR под виндами даже без этих фишек будет ходить на ура ТОЛЬКО через 20,21.
бай гуд

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ftp и ipfw"

Сообщение от pablo (??) on 06-Май-05, 11:01  (MSK)

>про варианты с портами 50000-60000 всё правильно,
>только на твой вопрос - "зачем держать столько портов открытым?":
>ответ: сколько одновременных соединений надо -> столько и открывай.
>мб: 30000-30033 => 33 одновременных коннекта (на серваке ессно, для всех)
>к тому же (как сам понимаешь) эти порты открываются только для общепринятых
>браузеров + фтп клиентов. FAR под виндами даже без этих фишек
>будет ходить на ура ТОЛЬКО через 20,21.
>
>бай гуд

Про порты, спасибо. Жаль.
Что значит "FAR под виндами даже без этих фишек будет ходить на ура" и чем  он отличаеться от "общепринятых браузеров + фтп клиентов" ?
Что имееться в виду?
Мы говорим о пассивном режиме ftp. Сервер должен открыть у себя дополнительный порт на обработку каждой команды клиента. И 20,21 здесь не обойтись.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ftp и ipfw"

Сообщение от pablo (??) on 06-Май-05, 10:56  (MSK)

>Ты вообще понимаешь как работает активный и пассивный режимы фтп???
Представте себе.
>
>открывай 21 на входящие соединения, 20 ( для активного соединений) - на
>исход. В фтп сервере выстави в настройках порт для пассивных соединений
>(например 3333) и откррой его на входящие соединения.
Активный ftp - не устраивает однозначно.
Т.е. проблема решаеться только открытием конкретных портов для всех.
Ясно.
>
>И будет тебя ЩастьЕ

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ftp и ipfw"

Сообщение от 80286 20Mhz bez soprocessora on 06-Май-05, 11:09  (MSK)

про фару - попробуй сначала :) ::
только 21 и всё прёт на пассиве (все остальные клиенты требуют дополнительных портов-пассивов, что является стандартом).
а насчёт ЖАЛЬ - фигня это всё: порты открываются только для конкретного коннекта на данный ИП+порт (там сами фитипихи договариваются), и потом закрываются, И ВЕДЬ НИЧЕГО ДРУГОГО НЕ ВИСИТ на них = так что беспокоиться не о чем.
короче, маслай, скань, радуйся.
бай эгэйн.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ftp и ipfw"

Сообщение от pablo (??) on 06-Май-05, 11:29  (MSK)

>про фару - попробуй сначала :) ::
>только 21 и всё прёт на пассиве (все остальные клиенты требуют дополнительных
>портов-пассивов, что является стандартом).
Только что специально проверил.
Far - 1.70 beta 5
ftp сервер - ftpd штатный FreeBSD 4.11-RELEASE
По умолчанию far действительно общаеться с портами на сервере только 20,21
Однако это настройка по умолчанию на активный (PORT) режим.
Если в настройках выставить галку "[x] Passive mode" Far ведет себя так же как и все остальные ftp клиенты.

>а насчёт ЖАЛЬ - фигня это всё: порты открываются только для конкретного
>коннекта на данный ИП+порт (там сами фитипихи договариваются), и потом закрываются,
>И ВЕДЬ НИЧЕГО ДРУГОГО НЕ ВИСИТ на них = так что
>беспокоиться не о чем.
Если клиентов много, приходиться открывать большое количество портов. Причем человек животное забывчивое... :-) потом можно и не вспомнить что открыто, а туда что-нибудь поставить.
К тому же нужно искать сервер которому можно было-бы указать в каком диапазоне портов работать. Хорошо что vsftpd это умеет. Но у меня на паре машин стоит шатный ftpd, afaik он этого не умееет.
Насколько я понимаю открываеться порт для всех. А не для конкретного IP клиента. Вроде как даже были атаки направленные на угадывание порта который открое сервер и перехват данных (или на угадывание порта который откроет клиент (в активном режиме) и передачу ему неверных данных).
Вот если бы ftp сервер говорил ipfw какой порт для какого IP открыть. Это было бы чудесно...

>
>короче, маслай, скань, радуйся.
>
>бай эгэйн.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ftp и ipfw"

Сообщение от 80286 20Mhz bez soprocessora on 06-Май-05, 12:16  (MSK)

так в чём проблема?
сначала разреши ipfw диапазоны ИП + порт, а потом укажи фитипи => какие открывать. типа:
ipfw add pass tcp from 1.2.3.4/xxx to me 50000-50010
+ на 21 тоже самое.
ЗЫ: хотя в принципе достаточно фаерить ТОЛЬКО 21 => тк только после обращения по нему демонята_эфтипята открывают дырки свыше. т.е. хоть тыщу лет работай с портами там 50000-ххх => коннекта не будет.
а насчёт запомнить какие разрешал - есть конфиг (да и вообще-то правило для себя надо иметь, типа такие-то для фтп, такие-то для птф_или_что_там).
у меня есть тачка - много сервисов + 6 сеток + ipnat (разрулено по различным портам на каждую сетку) + vsftpd = всё отлично работает годами.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ftp и ipfw"
Сообщение от QeV on 05-Май-05, 23:23 (MSK)
Ты вообще понимаешь как работает активный и пассивный режимы фтп??? открывай 21 на входящие соединения, 20 ( для активного соединений) - на исход. В фтп сервере выстави в настройках порт для пассивных соединений (например 3333) и откррой его на входящие соединения. И будет тебя ЩастьЕ
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ftp и ipfw"
	Сообщение от 80286 20Mhz bez soprocessora on 06-Май-05, 06:55 (MSK)
	про варианты с портами 50000-60000 всё правильно, только на твой вопрос - "зачем держать столько портов открытым?": ответ: сколько одновременных соединений надо -> столько и открывай. мб: 30000-30033 => 33 одновременных коннекта (на серваке ессно, для всех) к тому же (как сам понимаешь) эти порты открываются только для общепринятых браузеров + фтп клиентов. FAR под виндами даже без этих фишек будет ходить на ура ТОЛЬКО через 20,21. бай гуд
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ftp и ipfw"
	Сообщение от pablo (??) on 06-Май-05, 11:01 (MSK)
	>про варианты с портами 50000-60000 всё правильно, >только на твой вопрос - "зачем держать столько портов открытым?": >ответ: сколько одновременных соединений надо -> столько и открывай. >мб: 30000-30033 => 33 одновременных коннекта (на серваке ессно, для всех) >к тому же (как сам понимаешь) эти порты открываются только для общепринятых >браузеров + фтп клиентов. FAR под виндами даже без этих фишек >будет ходить на ура ТОЛЬКО через 20,21. > >бай гуд Про порты, спасибо. Жаль. Что значит "FAR под виндами даже без этих фишек будет ходить на ура" и чем он отличаеться от "общепринятых браузеров + фтп клиентов" ? Что имееться в виду? Мы говорим о пассивном режиме ftp. Сервер должен открыть у себя дополнительный порт на обработку каждой команды клиента. И 20,21 здесь не обойтись.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ftp и ipfw"
	Сообщение от pablo (??) on 06-Май-05, 10:56 (MSK)
	>Ты вообще понимаешь как работает активный и пассивный режимы фтп??? Представте себе. > >открывай 21 на входящие соединения, 20 ( для активного соединений) - на >исход. В фтп сервере выстави в настройках порт для пассивных соединений >(например 3333) и откррой его на входящие соединения. Активный ftp - не устраивает однозначно. Т.е. проблема решаеться только открытием конкретных портов для всех. Ясно. > >И будет тебя ЩастьЕ
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ftp и ipfw"
	Сообщение от 80286 20Mhz bez soprocessora on 06-Май-05, 11:09 (MSK)
	про фару - попробуй сначала :) :: только 21 и всё прёт на пассиве (все остальные клиенты требуют дополнительных портов-пассивов, что является стандартом). а насчёт ЖАЛЬ - фигня это всё: порты открываются только для конкретного коннекта на данный ИП+порт (там сами фитипихи договариваются), и потом закрываются, И ВЕДЬ НИЧЕГО ДРУГОГО НЕ ВИСИТ на них = так что беспокоиться не о чем. короче, маслай, скань, радуйся. бай эгэйн.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ftp и ipfw"
	Сообщение от pablo (??) on 06-Май-05, 11:29 (MSK)
	>про фару - попробуй сначала :) :: >только 21 и всё прёт на пассиве (все остальные клиенты требуют дополнительных >портов-пассивов, что является стандартом). Только что специально проверил. Far - 1.70 beta 5 ftp сервер - ftpd штатный FreeBSD 4.11-RELEASE По умолчанию far действительно общаеться с портами на сервере только 20,21 Однако это настройка по умолчанию на активный (PORT) режим. Если в настройках выставить галку "[x] Passive mode" Far ведет себя так же как и все остальные ftp клиенты. >а насчёт ЖАЛЬ - фигня это всё: порты открываются только для конкретного >коннекта на данный ИП+порт (там сами фитипихи договариваются), и потом закрываются, >И ВЕДЬ НИЧЕГО ДРУГОГО НЕ ВИСИТ на них = так что >беспокоиться не о чем. Если клиентов много, приходиться открывать большое количество портов. Причем человек животное забывчивое... :-) потом можно и не вспомнить что открыто, а туда что-нибудь поставить. К тому же нужно искать сервер которому можно было-бы указать в каком диапазоне портов работать. Хорошо что vsftpd это умеет. Но у меня на паре машин стоит шатный ftpd, afaik он этого не умееет. Насколько я понимаю открываеться порт для всех. А не для конкретного IP клиента. Вроде как даже были атаки направленные на угадывание порта который открое сервер и перехват данных (или на угадывание порта который откроет клиент (в активном режиме) и передачу ему неверных данных). Вот если бы ftp сервер говорил ipfw какой порт для какого IP открыть. Это было бы чудесно... > >короче, маслай, скань, радуйся. > >бай эгэйн.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ftp и ipfw"
	Сообщение от 80286 20Mhz bez soprocessora on 06-Май-05, 12:16 (MSK)
	так в чём проблема? сначала разреши ipfw диапазоны ИП + порт, а потом укажи фитипи => какие открывать. типа: ipfw add pass tcp from 1.2.3.4/xxx to me 50000-50010 + на 21 тоже самое. ЗЫ: хотя в принципе достаточно фаерить ТОЛЬКО 21 => тк только после обращения по нему демонята_эфтипята открывают дырки свыше. т.е. хоть тыщу лет работай с портами там 50000-ххх => коннекта не будет. а насчёт запомнить какие разрешал - есть конфиг (да и вообще-то правило для себя надо иметь, типа такие-то для фтп, такие-то для птф_или_что_там). у меня есть тачка - много сервисов + 6 сеток + ipnat (разрулено по различным портам на каждую сетку) + vsftpd = всё отлично работает годами.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]