The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IPFW: выход по FTP только на чтение"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 02-Мрт-06, 17:42 
Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только скачивать данные, а вот отправлять данные не могли.

Т.е. чтобы ftp работал только read only

заранее спасибо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "IPFW: выход по FTP только на чтение"  
Сообщение от Skif (ok) on 02-Мрт-06, 17:49 
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.


:)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "IPFW: выход по FTP только на чтение"  
Сообщение от vec135 on 02-Мрт-06, 18:12 
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.
отсыпь, а :)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 02-Мрт-06, 18:22 
>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>скачивать данные, а вот отправлять данные не могли.
>>
>>Т.е. чтобы ftp работал только read only
>>
>>заранее спасибо.
>отсыпь, а :)

:))) да вы всё таки темные люди!

Вот если бы вы имели дело с такими корпоративными продуктами (пусть хоть и не любимой вами M$) как MS ISA, то знали бы, что она такое позволяет!

Т.е. например, можно создать такое правило:

ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru, но он сможет только качать данные оттуда, а не закачивать их ТУДА.

теперь я ЯСНО пояснил?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "IPFW: выход по FTP только на чтение"  
Сообщение от rm (??) on 02-Мрт-06, 18:36 
>Т.е. например, можно создать такое правило:
>
>ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru,
>но он сможет только качать данные оттуда, а не закачивать их
>ТУДА.
>
>теперь я ЯСНО пояснил?


Скорее это реализуется на самом FTP, а не фаерволом.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "IPFW: выход по FTP только на чтение"  
Сообщение от vec135 (ok) on 02-Мрт-06, 18:43 
>>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>>скачивать данные, а вот отправлять данные не могли.
>>>
>>>Т.е. чтобы ftp работал только read only
>>>
>>>заранее спасибо.
>>отсыпь, а :)
>
>:))) да вы всё таки темные люди!
>
>Вот если бы вы имели дело с такими корпоративными продуктами (пусть хоть
>и не любимой вами M$) как MS ISA, то знали бы,
>что она такое позволяет!
>
>Т.е. например, можно создать такое правило:
>
>ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru,
>но он сможет только качать данные оттуда, а не закачивать их
>ТУДА.
>
>теперь я ЯСНО пояснил?

ну ведь ты ясно вопрос поставил: "с помощью правил ipfw"...

Жена посылает программиста за продуктами
-Купи палку колбасы, и если будут яйца, возьми десяток.
Программист в магазине:
- Дайте мне, пожалуйста, палку колбасы. Спасибо. А яйца у вас есть?
- Есть.
- Тогда ещё девять палок колбасы.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 02-Мрт-06, 18:47 
>>>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>>>скачивать данные, а вот отправлять данные не могли.
>>>>
>>>>Т.е. чтобы ftp работал только read only
>>>>
>>>>заранее спасибо.
>>>отсыпь, а :)
>>
>>:))) да вы всё таки темные люди!
>>
>>Вот если бы вы имели дело с такими корпоративными продуктами (пусть хоть
>>и не любимой вами M$) как MS ISA, то знали бы,
>>что она такое позволяет!
>>
>>Т.е. например, можно создать такое правило:
>>
>>ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru,
>>но он сможет только качать данные оттуда, а не закачивать их
>>ТУДА.
>>
>>теперь я ЯСНО пояснил?
>
>ну ведь ты ясно вопрос поставил: "с помощью правил ipfw"...
>
так я его и сейчас ставлю.

Запрещать то будем именно с помощью ipfw. В конце концов ты же можешь залезть на чужой фтп сервер и поправить там права чтения записи?!!


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "IPFW: выход по FTP только на чтение"  
Сообщение от vec135 (ok) on 02-Мрт-06, 18:53 

>так я его и сейчас ставлю.
>
>Запрещать то будем именно с помощью ipfw. В конце концов ты же
>можешь залезть на чужой фтп сервер и поправить там права чтения
>записи?!!

к ответу rm мне добавить нечего. тебе не ipfw нужно ковырять...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "IPFW: выход по FTP только на чтение"  
Сообщение от sergey email(??) on 02-Мрт-06, 18:51 
Ipfw в твоей ситуации поможет тебе сделать следующее:
например запретить исходящий трафик из твоей сети по порту ftp

Почитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках организации своей локальной сети.
Думаю придется использовать параметры ipfw in/out.
Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp active/passive.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 02-Мрт-06, 18:58 
>Ipfw в твоей ситуации поможет тебе сделать следующее:
>например запретить исходящий трафик из твоей сети по порту ftp
>
>Почитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках
>организации своей локальной сети.
>Думаю придется использовать параметры ipfw in/out.
>Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp
>active/passive.


О! хоть один нормальный человек! спасибо за наводку!

вот только вы правы, боюсь что in out здесь не убережешься от passive/active. ....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "IPFW: выход по FTP только на чтение"  
Сообщение от Azazelo (??) on 02-Мрт-06, 20:39 
>Ipfw в твоей ситуации поможет тебе сделать следующее:
>например запретить исходящий трафик из твоей сети по порту ftp
>
>Почитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках
>организации своей локальной сети.
>Думаю придется использовать параметры ipfw in/out.
>Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp
>active/passive.

дайте адрес вашего драгдилера ...

2 автор топика , советую почитать как работает tcp протокол .

tcp -connetcion oriented protocol , тоесть трафик идет в обе стороны . и чего вы добьетесь если порежете исходяший или входящий поток ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "IPFW: выход по FTP только на чтение"  
Сообщение от lavr email on 02-Мрт-06, 20:50 
>>Ipfw в твоей ситуации поможет тебе сделать следующее:
>>например запретить исходящий трафик из твоей сети по порту ftp
>>
>>Почитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках
>>организации своей локальной сети.
>>Думаю придется использовать параметры ipfw in/out.
>>Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp
>>active/passive.
>
>дайте адрес вашего драгдилера ...
>
>2 автор топика , советую почитать как работает tcp протокол .
>
>tcp -connetcion oriented protocol , тоесть трафик идет в обе стороны .
>и чего вы добьетесь если порежете исходяший или входящий поток ?
>

эх, жаль,я надеялся что еще почитаю эту интересную дискуссию, Азазелло все
поставил на места. :-Q

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "IPFW: выход по FTP только на чтение"  
Сообщение от Sergey email(??) on 02-Мрт-06, 21:11 
Сорри, признаю свою ошибку. Действительно это ничего не даст.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "IPFW: выход по FTP только на чтение"  
Сообщение от Shaman007 email(??) on 02-Мрт-06, 21:24 
Это тролль, он на ЛОРе тоже засветился. Не ведитесь на его провокации.


>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "IPFW: выход по FTP только на чтение"  
Сообщение от MiracleMan on 02-Мрт-06, 21:50 
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.


IPFW тут может помочь тебе по части перенаправления трафика.. А вообще же,
это задача для FTP Proxy. Подумай сам, именно ftp proxy позволит рулить тебе элементами FTP протокола.. Так же, как и squid, к примеру, разруливает http протокол.. А ISA - это комплексное решение, это и фаервол и прокси и контент фильтеринг и ещё бог знает что можно в виде модуля прикрутить.. Примерно так же, комплексно тебе и твой вопрос решать надо..

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "IPFW: выход по FTP только на чтение"  
Сообщение от Skif email(ok) on 03-Мрт-06, 10:55 
>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>скачивать данные, а вот отправлять данные не могли.
>>
>>Т.е. чтобы ftp работал только read only
>>
>>заранее спасибо.
>
>
>IPFW тут может помочь тебе по части перенаправления трафика.. А вообще же,
>
>это задача для FTP Proxy. Подумай сам, именно ftp proxy позволит рулить
>тебе элементами FTP протокола.. Так же, как и squid, к примеру,
>разруливает http протокол.. А ISA - это комплексное решение, это и

умница

>фаервол и прокси и контент фильтеринг и ещё бог знает что
>можно в виде модуля прикрутить..

умные слова.
По плану комплексности решения ISA, конечно, далеко впереди. ЧТо очень выгодно корпоративным клиентам. Невзирая на крики линусяторов и бсд-шников это очень хороший продукт и полноценной альтернативы в одном пакете в мире bsd/linux и *nix вообще лично я не встречал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "IPFW: выход по FTP только на чтение"  
Сообщение от Аноним email on 03-Мрт-06, 10:44 
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.


:)
настрой фтп-сервер правильно. нахера ipfw ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 03-Мрт-06, 10:59 
>настрой фтп-сервер правильно. нахера ipfw ?

Я прошу прощения за некорректно поставленный мною вопрос в этой теме. Это моя ошибка, что вы все не так поняли проблему.

Речь идет не об настройках сервера, на котором размещен ftp сервер.
Речь идет о доступе из локальной сети предриятия к внешним (расположенным в интернете) FTP серверам через шлюз на котором есть ipfw.

Здесь речь касается политики информационной безопасности. Т.е. разрешить людям скачивать, но никак не "сливать" куда-либо информацию из сети предприятия.

Просьба, если вы никогда не занимались подобными проблемами и вам вообще чужды такие понятия как "информационная безопасность" просьба не писать в эту тему всякую фигню.

Я благодарен таким людям как MiracleMan и Skif, кто просёк о чем я спрашивал и отнеслись с пониманием к моей проблеме.

Как я понял одним ipfw здесь врядли обойдешься, с помощью каких продуктов это можно сделать? squid не подойдет?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "IPFW: выход по FTP только на чтение"  
Сообщение от redmoon email(??) on 03-Мрт-06, 11:05 
>>настрой фтп-сервер правильно. нахера ipfw ?
>
>Я прошу прощения за некорректно поставленный мною вопрос в этой теме. Это
>моя ошибка, что вы все не так поняли проблему.
>
>Речь идет не об настройках сервера, на котором размещен ftp сервер.
>Речь идет о доступе из локальной сети предриятия к внешним (расположенным в
>интернете) FTP серверам через шлюз на котором есть ipfw.
>
>Здесь речь касается политики информационной безопасности. Т.е. разрешить людям скачивать, но никак
>не "сливать" куда-либо информацию из сети предприятия.
>
>Просьба, если вы никогда не занимались подобными проблемами и вам вообще чужды
>такие понятия как "информационная безопасность" просьба не писать в эту тему
>всякую фигню.
>
>Я благодарен таким людям как MiracleMan и Skif, кто просёк о чем
>я спрашивал и отнеслись с пониманием к моей проблеме.
>
>Как я понял одним ipfw здесь врядли обойдешься, с помощью каких продуктов
>это можно сделать? squid не подойдет?

с проблемой сталкивались мы с такой ..
вас интересует "скачивать откуда либо" и "не заливать куда либо" ?
или вышеописанное но только в контексе фтп ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 03-Мрт-06, 11:11 

>с проблемой сталкивались мы с такой ..
>вас интересует "скачивать откуда либо" и "не заливать куда либо" ?
>или вышеописанное но только в контексе фтп ?

пока да, речь идет только об ftp.

нужно чтобы пользователи сети могли скачивать по протоколу ftp с любых серверов (но список допустимых серверов, как я понимаю, очень легко подкоректировать) информацию, НО не в коем случае не могли передать информацию из локальной сети на удаленный ftp сервер. Грубо говоря, чтобы у них в ftp протоколе не работала команда put.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

21. "IPFW: выход по FTP только на чтение"  
Сообщение от redmoon email(??) on 03-Мрт-06, 11:21 
>
>>с проблемой сталкивались мы с такой ..
>>вас интересует "скачивать откуда либо" и "не заливать куда либо" ?
>>или вышеописанное но только в контексе фтп ?
>
>пока да, речь идет только об ftp.
>
>нужно чтобы пользователи сети могли скачивать по протоколу ftp с любых серверов
>(но список допустимых серверов, как я понимаю, очень легко подкоректировать) информацию,
>НО не в коем случае не могли передать информацию из локальной
>сети на удаленный ftp сервер. Грубо говоря, чтобы у них в
>ftp протоколе не работала команда put.


можно  конечно  играться с ипфв, но это не красивое решение.
я попробывал бы фтп прокси.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

22. "IPFW: выход по FTP только на чтение"  
Сообщение от Дениска (ok) on 03-Мрт-06, 11:27 
>можно  конечно  играться с ипфв, но это не красивое решение.
уже написали, что НЕЛЬЗЯ поиграться с ipfw. описанную траблу надо решать на уровне протокола (ftp в данном случае), а ipfw, как вы, надеюсь, знаете, работает пониже немного(в смысле уроень у него ниже).
а про то, что замены ISA нет в *NIX... просто есть UNIX-way, т.е. каждая прога решает одну СВОЮ задачу, но зато полностью и хорошо. А M$, для удобства администрирования, пользования и проч все сливает в одно место. Удобно для типовых решений. Зато - никакой гибкости. Не придумал для тебя дядя Билл галочку - значит не сделаешь ты этого. Сорри,уже ушол в офтоп.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

23. "IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 03-Мрт-06, 11:30 
>>можно  конечно  играться с ипфв, но это не красивое решение.
>уже написали, что НЕЛЬЗЯ поиграться с ipfw. описанную траблу надо решать на
>уровне протокола (ftp в данном случае), а ipfw, как вы, надеюсь,
>знаете, работает пониже немного(в смысле уроень у него ниже).
>а про то, что замены ISA нет в *NIX... просто есть UNIX-way,
>т.е. каждая прога решает одну СВОЮ задачу, но зато полностью и
>хорошо. А M$, для удобства администрирования, пользования и проч все сливает
>в одно место. Удобно для типовых решений. Зато - никакой гибкости.
>Не придумал для тебя дядя Билл галочку - значит не сделаешь
>ты этого. Сорри,уже ушол в офтоп.

конечно спасибо за вашу точку зрения на продукты MS. она ОЧЕНЬ ценна для решения проблемы.

из ftp-proxy я посмотрел на frox, но пока не нашел в нем решение проблемы.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

27. "IPFW: выход по FTP только на чтение"  
Сообщение от Keeper (??) on 08-Мрт-06, 22:45 
>из ftp-proxy я посмотрел на frox, но пока не нашел в нем
>решение проблемы.

cd /usr/ports/ftp
make search key="proxy"

Выбирай ^_^

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

20. "IPFW: выход по FTP только на чтение"  
Сообщение от satelit on 03-Мрт-06, 11:12 
Тебе FTP прокси нужен, что-то типа FROX, а с помощью ipfw этого тоже не сделать.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

24. "IPFW: выход по FTP только на чтение"  
Сообщение от Skif email(ok) on 03-Мрт-06, 11:31 
Как уже говорили frox, вообще ftp прокси, вот пример


http://www.squid-cache.org/mail-archive/squid-users/200109/0579.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

25. "IPFW: выход по FTP только на чтение"  
Сообщение от fvl email on 03-Мрт-06, 11:40 
Кто бы написал такую фишку на нетграфе...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

26. "IPFW: выход по FTP только на чтение"  
Сообщение от cvv email on 03-Мрт-06, 11:43 
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.

если б ты пользовал iptables как нормальные люди то мог бы заюзать ftp_conn_track

а вообщето задача не имеет решения при сколь нибуть продвинутых unix-пользователях.

а из под винды обойти такие защиты существенно сложнее.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

28. "IPFW: выход по FTP только на чтение"  
Сообщение от Keeper email(??) on 09-Мрт-06, 09:29 
>а вообщето задача не имеет решения при сколь нибуть продвинутых unix-пользователях.
>а из под винды обойти такие защиты существенно сложнее.

Допустим, при помощи FTP-Proxy мы зарубим команды FTP типа PUT. Но ведь еще остается как минимум HTTP File Upload на какой-нибудь WebFTP или WebMail, а также отправка файла почтой в UUE- или Base64-кодировке (вовсе не обязательно оформленный как аттач, вспомните FIDOnet ^_^).

Что делать с этими каналами утечки информации?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

29. "IPFW: выход по FTP только на чтение"  
Сообщение от VaD on 09-Мрт-06, 10:27 
>>а вообщето задача не имеет решения при сколь нибуть продвинутых unix-пользователях.
>>а из под винды обойти такие защиты существенно сложнее.
>
>Допустим, при помощи FTP-Proxy мы зарубим команды FTP типа PUT. Но ведь
>еще остается как минимум HTTP File Upload на какой-нибудь WebFTP или
>WebMail, а также отправка файла почтой в UUE- или Base64-кодировке (вовсе
>не обязательно оформленный как аттач, вспомните FIDOnet ^_^).
>
>Что делать с этими каналами утечки информации?

с этим старается бороться squidGuard, в который забиты почти все web mail сервера, по крайней мере все известные.
Конечно еще можно рубить команду POST, но тогда отвалиться возможность например постить на форумах.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

30. "IPFW: выход по FTP только на чтение"  
Сообщение от cvv email on 09-Мрт-06, 11:26 
>с этим старается бороться squidGuard, в который забиты почти все web mail
>сервера, по крайней мере все известные.
>Конечно еще можно рубить команду POST, но тогда отвалиться возможность например постить
>на форумах.

на мой взгляд даже это будет эффективно только для виндузных юзеров.

уж слишком просто под юниксами организовать тунеллирование поверх любого протокола, на хуж случай поверх тогоже ICMP.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

31. "IPFW: выход по FTP только на чтение"  
Сообщение от Keeper email(??) on 09-Мрт-06, 11:57 
>>с этим старается бороться squidGuard, в который забиты почти все web mail
>>сервера, по крайней мере все известные.

>на мой взгляд даже это будет эффективно только для виндузных юзеров.

Имхо даже для них неэффективно. Что мешает сообщнику поднять на какой-нибудь тачке (даже необязательно юниховой) с неизвестным еще адресом веб-сервер + WebFTP для разовой или периодической отправки файлов? Сообщник может даже быть ADSL- или Dialup-пользователем.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру