>>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>>>входящие закрыты кроме белого списка (21,22,80)
>>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>>>
>>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>>>а как в FreeBSD решается такая проблема?
>>>>
>>>
>>>https://www.opennet.ru/openforum/vsluhforumID1/56219.html
>>>ну это же не выход. а если клиент откроет на 3333 порту
>>>демон свой? pure-ftp его уже не вышибет - способ по крайней
>>>мере не надежный!
>>
>>какой клиент? это что, на боевом сервере интерактивные клиенты?!
>не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты"
>
>клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую
>нечисть типа bindshell'ов.
>>
>>>lavr: а что за параноид режим?
>>
>>это когда всем портам >1024 делают ipfw deny
>это нормальный подход в условиях шаред хостинга.
>я еще в первом посте написал, что именно все остальные порты закрыты
>
>(>1024 в том числе)
>>
>это и
>>>в rc.firewall нашел только:
>>
>>дык это обычные шаблоны, ну кроме open, те как пример
>>
>>># open - will allow anyone
>>>in
>>># client - will try to protect just
>>>this machine
>>># simple - will try to protect a
>>>whole network
>>># closed - totally disables IP services except
>>>via lo0 interface
>>># UNKNOWN - disables the loading of firewall rules.
>>>
>>># filename - will load the rules in the given
>>>filename (full path required)
>
>
>Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20
>одновременных подключений к фтп + нельзя открывать дополнительные порты"
>Я не прав? Может так? ${fwcmd} add pass tcp from any to any 20
${fwcmd} add pass tcp from any 20 to any
${fwcmd} add pass tcp from any to any 21
${fwcmd} add pass tcp from any 21 to any
${fwcmd} add pass tcp from any to ${myip} 49152-65535
${fwcmd} add pass tcp from ${myip} 49152-65535 to any OS FreeBSD 4.11-RELEASE-p11
Штатный FTP
|
