https://www.opennet.ru/openforum/vsluhforumID1/78547.html Я хочу разрешить на шлюзе в ipfw возможность раюоты с ftp-сервером<br>ftp-сервер я хочу поднять на том же шлюзе<br>одно из правил должно быть такое <br>ipfw add allow tcp from any to me keep-state<br>Насколько это правило опасно для шлюза и как правильно поступить?<br><br>Интуиция мне подсказывает что ftp сервер на шлюзе лучше не поднимать, а лучше для него выделить отдельную машину в DMZ или во внутр сети - так ли это?<br><br>И еще я слышал что можно поднять ftp-proxy <br>Например jftpgw: но документацию я на русском не нашел? Как быть?<br>И вообще какой смысл в прокси ftp<br> https://www.opennet.ru/openforum/vsluhforumID1/78547.html#4 Tue, 05 Feb 2008 03:15:18 GMT &gt;&gt;Я хочу разрешить на шлюзе в ipfw возможность раюоты с ftp-сервером <br>&gt;&gt;ftp-сервер я хочу поднять на том же шлюзе <br>&gt;&gt;одно из правил должно быть такое <br>&gt;&gt;ipfw add allow tcp from any to me keep-state <br>&gt;&gt;Насколько это правило опасно для шлюза и как правильно поступить? <br>&gt;<br>&gt;Такое правило откроет полный доступ к шлюзу по TCP. <br><br>Чем страшно открывать полный доступ к шлюзу по ТСР (к серверу вообще и к вашему в частности) ? <br><br>Чего мы боимся ? У нас куча сервисов открыла кучу портов в верхних портах?<br>Мы боимся того, что некий пользователь или поломанный процесс сможет открыть такой порт и к нему будет доступ ? Чего ? <br><br>Да, в случае взлома, наверное, полегче будет открыть порт и запустить на нем шелл. Но<br>"поломанный процесс", вероятнее всего будет устанавливать исходящее соединение к IRC за получением команд, потому как исходящие соединения ограничивают пореже, чем входящие.<br><br><br>Опять же, машина, которая будет в DMZ (отдельно стоит оговорить установку FTP на внутренних адресах и полноценный DNAT FTP-прот https://www.opennet.ru/openforum/vsluhforumID1/78547.html#3 Tue, 05 Feb 2008 03:04:33 GMT &gt;Правильно - так мы откроем возможность для активного режима <br>&gt;Но для пассивного необходимо разрешить подключаться из-вне на порты 1024 и выше <br>&gt;<br>&gt;потому как с этим режимом работают по умолчанию браузеры <br>&gt;Что делать и как быть <br>&gt;А 20 порт давно уже не используют <br><br>1. Выделить диапазон в допустим 500 портов: 20000-20500<br>2. Настроить фтп сервер чтобы он использовал эти порты (например в proftpd это параметр PassivePorts, ещё в pureftpd знаю точно что есть. В других, к сожалению, может и не быть -- читайте документацию)<br>3. Разрешить соедиения извне на эти 500 портов.<br><br>В принципе, это не такое уж и хорошее ршение. Но как минимум оно позволяет уменьшить диапазон открытых портов.<br><br>Лучшим решением было бы использование conntrack и RELATED соедиений как в iptables. Но вот не знаю какие аналоги есть для FreeBSD.<br> https://www.opennet.ru/openforum/vsluhforumID1/78547.html#2 Mon, 04 Feb 2008 22:23:40 GMT &gt;Такое правило откроет полный доступ к шлюзу по TCP. Лучше так: <br>&gt;ipfw add allow tcp from any to me 21 keep-state <br>&gt;Ну и видимо добавить (если исходящие со шлюза не разрешены): <br>&gt;ipfw add allow tcp from me 20 to any keep-state <br><br>Правильно - так мы откроем возможность для активного режима<br>Но для пассивного необходимо разрешить подключаться из-вне на порты 1024 и выше<br>потому как с этим режимом работают по умолчанию браузеры<br>Что делать и как быть<br>А 20 порт давно уже не используют<br> https://www.opennet.ru/openforum/vsluhforumID1/78547.html#1 Mon, 04 Feb 2008 22:07:56 GMT &gt;Я хочу разрешить на шлюзе в ipfw возможность раюоты с ftp-сервером <br>&gt;ftp-сервер я хочу поднять на том же шлюзе <br>&gt;одно из правил должно быть такое <br>&gt;ipfw add allow tcp from any to me keep-state <br>&gt;Насколько это правило опасно для шлюза и как правильно поступить? <br><br>Такое правило откроет полный доступ к шлюзу по TCP. Лучше так:<br>ipfw add allow tcp from any to me 21 keep-state <br>Ну и видимо добавить (если исходящие со шлюза не разрешены):<br>ipfw add allow tcp from me 20 to any keep-state <br><br>&gt;Интуиция мне подсказывает что ftp сервер на шлюзе лучше не поднимать, а <br>&gt;лучше для него выделить отдельную машину в DMZ или во внутр <br>&gt;сети - так ли это? <br><br>В принципе интуиция права. Но если очень хочется, но страшно, то можно в сторону jail посмотреть.<br>