Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только скачивать данные, а вот отправлять данные не могли.Т.е. чтобы ftp работал только read only
заранее спасибо.
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.
:)
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.
отсыпь, а :)
>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>скачивать данные, а вот отправлять данные не могли.
>>
>>Т.е. чтобы ftp работал только read only
>>
>>заранее спасибо.
>отсыпь, а :):))) да вы всё таки темные люди!
Вот если бы вы имели дело с такими корпоративными продуктами (пусть хоть и не любимой вами M$) как MS ISA, то знали бы, что она такое позволяет!
Т.е. например, можно создать такое правило:
ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru, но он сможет только качать данные оттуда, а не закачивать их ТУДА.
теперь я ЯСНО пояснил?
>Т.е. например, можно создать такое правило:
>
>ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru,
>но он сможет только качать данные оттуда, а не закачивать их
>ТУДА.
>
>теперь я ЯСНО пояснил?
Скорее это реализуется на самом FTP, а не фаерволом.
>>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>>скачивать данные, а вот отправлять данные не могли.
>>>
>>>Т.е. чтобы ftp работал только read only
>>>
>>>заранее спасибо.
>>отсыпь, а :)
>
>:))) да вы всё таки темные люди!
>
>Вот если бы вы имели дело с такими корпоративными продуктами (пусть хоть
>и не любимой вами M$) как MS ISA, то знали бы,
>что она такое позволяет!
>
>Т.е. например, можно создать такое правило:
>
>ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru,
>но он сможет только качать данные оттуда, а не закачивать их
>ТУДА.
>
>теперь я ЯСНО пояснил?ну ведь ты ясно вопрос поставил: "с помощью правил ipfw"...
Жена посылает программиста за продуктами
-Купи палку колбасы, и если будут яйца, возьми десяток.
Программист в магазине:
- Дайте мне, пожалуйста, палку колбасы. Спасибо. А яйца у вас есть?
- Есть.
- Тогда ещё девять палок колбасы.
>>>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>>>скачивать данные, а вот отправлять данные не могли.
>>>>
>>>>Т.е. чтобы ftp работал только read only
>>>>
>>>>заранее спасибо.
>>>отсыпь, а :)
>>
>>:))) да вы всё таки темные люди!
>>
>>Вот если бы вы имели дело с такими корпоративными продуктами (пусть хоть
>>и не любимой вами M$) как MS ISA, то знали бы,
>>что она такое позволяет!
>>
>>Т.е. например, можно создать такое правило:
>>
>>ip 10.1.1.1 из сети компании имеет право заходить в интернете на ftp://ftp.domen.ru,
>>но он сможет только качать данные оттуда, а не закачивать их
>>ТУДА.
>>
>>теперь я ЯСНО пояснил?
>
>ну ведь ты ясно вопрос поставил: "с помощью правил ipfw"...
>
так я его и сейчас ставлю.Запрещать то будем именно с помощью ipfw. В конце концов ты же можешь залезть на чужой фтп сервер и поправить там права чтения записи?!!
>так я его и сейчас ставлю.
>
>Запрещать то будем именно с помощью ipfw. В конце концов ты же
>можешь залезть на чужой фтп сервер и поправить там права чтения
>записи?!!к ответу rm мне добавить нечего. тебе не ipfw нужно ковырять...
Ipfw в твоей ситуации поможет тебе сделать следующее:
например запретить исходящий трафик из твоей сети по порту ftpПочитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках организации своей локальной сети.
Думаю придется использовать параметры ipfw in/out.
Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp active/passive.
>Ipfw в твоей ситуации поможет тебе сделать следующее:
>например запретить исходящий трафик из твоей сети по порту ftp
>
>Почитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках
>организации своей локальной сети.
>Думаю придется использовать параметры ipfw in/out.
>Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp
>active/passive.
О! хоть один нормальный человек! спасибо за наводку!вот только вы правы, боюсь что in out здесь не убережешься от passive/active. ....
>Ipfw в твоей ситуации поможет тебе сделать следующее:
>например запретить исходящий трафик из твоей сети по порту ftp
>
>Почитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках
>организации своей локальной сети.
>Думаю придется использовать параметры ipfw in/out.
>Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp
>active/passive.дайте адрес вашего драгдилера ...
2 автор топика , советую почитать как работает tcp протокол .
tcp -connetcion oriented protocol , тоесть трафик идет в обе стороны . и чего вы добьетесь если порежете исходяший или входящий поток ?
>>Ipfw в твоей ситуации поможет тебе сделать следующее:
>>например запретить исходящий трафик из твоей сети по порту ftp
>>
>>Почитай пример скрипта для ipfw. И сделаешь все лучшим образом в рамках
>>организации своей локальной сети.
>>Думаю придется использовать параметры ipfw in/out.
>>Ситуация осложняется в зависимости от того, в каком режиме работают клиенты ftp
>>active/passive.
>
>дайте адрес вашего драгдилера ...
>
>2 автор топика , советую почитать как работает tcp протокол .
>
>tcp -connetcion oriented protocol , тоесть трафик идет в обе стороны .
>и чего вы добьетесь если порежете исходяший или входящий поток ?
>эх, жаль,я надеялся что еще почитаю эту интересную дискуссию, Азазелло все
поставил на места. :-Q
Сорри, признаю свою ошибку. Действительно это ничего не даст.
Это тролль, он на ЛОРе тоже засветился. Не ведитесь на его провокации.
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.
IPFW тут может помочь тебе по части перенаправления трафика.. А вообще же,
это задача для FTP Proxy. Подумай сам, именно ftp proxy позволит рулить тебе элементами FTP протокола.. Так же, как и squid, к примеру, разруливает http протокол.. А ISA - это комплексное решение, это и фаервол и прокси и контент фильтеринг и ещё бог знает что можно в виде модуля прикрутить.. Примерно так же, комплексно тебе и твой вопрос решать надо..
>>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>>скачивать данные, а вот отправлять данные не могли.
>>
>>Т.е. чтобы ftp работал только read only
>>
>>заранее спасибо.
>
>
>IPFW тут может помочь тебе по части перенаправления трафика.. А вообще же,
>
>это задача для FTP Proxy. Подумай сам, именно ftp proxy позволит рулить
>тебе элементами FTP протокола.. Так же, как и squid, к примеру,
>разруливает http протокол.. А ISA - это комплексное решение, это иумница
>фаервол и прокси и контент фильтеринг и ещё бог знает что
>можно в виде модуля прикрутить..умные слова.
По плану комплексности решения ISA, конечно, далеко впереди. ЧТо очень выгодно корпоративным клиентам. Невзирая на крики линусяторов и бсд-шников это очень хороший продукт и полноценной альтернативы в одном пакете в мире bsd/linux и *nix вообще лично я не встречал.
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.
:)
настрой фтп-сервер правильно. нахера ipfw ?
>настрой фтп-сервер правильно. нахера ipfw ?Я прошу прощения за некорректно поставленный мною вопрос в этой теме. Это моя ошибка, что вы все не так поняли проблему.
Речь идет не об настройках сервера, на котором размещен ftp сервер.
Речь идет о доступе из локальной сети предриятия к внешним (расположенным в интернете) FTP серверам через шлюз на котором есть ipfw.Здесь речь касается политики информационной безопасности. Т.е. разрешить людям скачивать, но никак не "сливать" куда-либо информацию из сети предприятия.
Просьба, если вы никогда не занимались подобными проблемами и вам вообще чужды такие понятия как "информационная безопасность" просьба не писать в эту тему всякую фигню.
Я благодарен таким людям как MiracleMan и Skif, кто просёк о чем я спрашивал и отнеслись с пониманием к моей проблеме.
Как я понял одним ipfw здесь врядли обойдешься, с помощью каких продуктов это можно сделать? squid не подойдет?
>>настрой фтп-сервер правильно. нахера ipfw ?
>
>Я прошу прощения за некорректно поставленный мною вопрос в этой теме. Это
>моя ошибка, что вы все не так поняли проблему.
>
>Речь идет не об настройках сервера, на котором размещен ftp сервер.
>Речь идет о доступе из локальной сети предриятия к внешним (расположенным в
>интернете) FTP серверам через шлюз на котором есть ipfw.
>
>Здесь речь касается политики информационной безопасности. Т.е. разрешить людям скачивать, но никак
>не "сливать" куда-либо информацию из сети предприятия.
>
>Просьба, если вы никогда не занимались подобными проблемами и вам вообще чужды
>такие понятия как "информационная безопасность" просьба не писать в эту тему
>всякую фигню.
>
>Я благодарен таким людям как MiracleMan и Skif, кто просёк о чем
>я спрашивал и отнеслись с пониманием к моей проблеме.
>
>Как я понял одним ipfw здесь врядли обойдешься, с помощью каких продуктов
>это можно сделать? squid не подойдет?с проблемой сталкивались мы с такой ..
вас интересует "скачивать откуда либо" и "не заливать куда либо" ?
или вышеописанное но только в контексе фтп ?
>с проблемой сталкивались мы с такой ..
>вас интересует "скачивать откуда либо" и "не заливать куда либо" ?
>или вышеописанное но только в контексе фтп ?пока да, речь идет только об ftp.
нужно чтобы пользователи сети могли скачивать по протоколу ftp с любых серверов (но список допустимых серверов, как я понимаю, очень легко подкоректировать) информацию, НО не в коем случае не могли передать информацию из локальной сети на удаленный ftp сервер. Грубо говоря, чтобы у них в ftp протоколе не работала команда put.
>
>>с проблемой сталкивались мы с такой ..
>>вас интересует "скачивать откуда либо" и "не заливать куда либо" ?
>>или вышеописанное но только в контексе фтп ?
>
>пока да, речь идет только об ftp.
>
>нужно чтобы пользователи сети могли скачивать по протоколу ftp с любых серверов
>(но список допустимых серверов, как я понимаю, очень легко подкоректировать) информацию,
>НО не в коем случае не могли передать информацию из локальной
>сети на удаленный ftp сервер. Грубо говоря, чтобы у них в
>ftp протоколе не работала команда put.
можно конечно играться с ипфв, но это не красивое решение.
я попробывал бы фтп прокси.
>можно конечно играться с ипфв, но это не красивое решение.
уже написали, что НЕЛЬЗЯ поиграться с ipfw. описанную траблу надо решать на уровне протокола (ftp в данном случае), а ipfw, как вы, надеюсь, знаете, работает пониже немного(в смысле уроень у него ниже).
а про то, что замены ISA нет в *NIX... просто есть UNIX-way, т.е. каждая прога решает одну СВОЮ задачу, но зато полностью и хорошо. А M$, для удобства администрирования, пользования и проч все сливает в одно место. Удобно для типовых решений. Зато - никакой гибкости. Не придумал для тебя дядя Билл галочку - значит не сделаешь ты этого. Сорри,уже ушол в офтоп.
>>можно конечно играться с ипфв, но это не красивое решение.
>уже написали, что НЕЛЬЗЯ поиграться с ipfw. описанную траблу надо решать на
>уровне протокола (ftp в данном случае), а ipfw, как вы, надеюсь,
>знаете, работает пониже немного(в смысле уроень у него ниже).
>а про то, что замены ISA нет в *NIX... просто есть UNIX-way,
>т.е. каждая прога решает одну СВОЮ задачу, но зато полностью и
>хорошо. А M$, для удобства администрирования, пользования и проч все сливает
>в одно место. Удобно для типовых решений. Зато - никакой гибкости.
>Не придумал для тебя дядя Билл галочку - значит не сделаешь
>ты этого. Сорри,уже ушол в офтоп.конечно спасибо за вашу точку зрения на продукты MS. она ОЧЕНЬ ценна для решения проблемы.
из ftp-proxy я посмотрел на frox, но пока не нашел в нем решение проблемы.
>из ftp-proxy я посмотрел на frox, но пока не нашел в нем
>решение проблемы.cd /usr/ports/ftp
make search key="proxy"Выбирай ^_^
Тебе FTP прокси нужен, что-то типа FROX, а с помощью ipfw этого тоже не сделать.
Как уже говорили frox, вообще ftp прокси, вот пример
http://www.squid-cache.org/mail-archive/squid-users/200109/0...
Кто бы написал такую фишку на нетграфе...
>Помогите с помощью правил ipfw сделать так, чтобы пользователи сети могли только
>скачивать данные, а вот отправлять данные не могли.
>
>Т.е. чтобы ftp работал только read only
>
>заранее спасибо.если б ты пользовал iptables как нормальные люди то мог бы заюзать ftp_conn_track
а вообщето задача не имеет решения при сколь нибуть продвинутых unix-пользователях.
а из под винды обойти такие защиты существенно сложнее.
>а вообщето задача не имеет решения при сколь нибуть продвинутых unix-пользователях.
>а из под винды обойти такие защиты существенно сложнее.Допустим, при помощи FTP-Proxy мы зарубим команды FTP типа PUT. Но ведь еще остается как минимум HTTP File Upload на какой-нибудь WebFTP или WebMail, а также отправка файла почтой в UUE- или Base64-кодировке (вовсе не обязательно оформленный как аттач, вспомните FIDOnet ^_^).
Что делать с этими каналами утечки информации?
>>а вообщето задача не имеет решения при сколь нибуть продвинутых unix-пользователях.
>>а из под винды обойти такие защиты существенно сложнее.
>
>Допустим, при помощи FTP-Proxy мы зарубим команды FTP типа PUT. Но ведь
>еще остается как минимум HTTP File Upload на какой-нибудь WebFTP или
>WebMail, а также отправка файла почтой в UUE- или Base64-кодировке (вовсе
>не обязательно оформленный как аттач, вспомните FIDOnet ^_^).
>
>Что делать с этими каналами утечки информации?с этим старается бороться squidGuard, в который забиты почти все web mail сервера, по крайней мере все известные.
Конечно еще можно рубить команду POST, но тогда отвалиться возможность например постить на форумах.
>с этим старается бороться squidGuard, в который забиты почти все web mail
>сервера, по крайней мере все известные.
>Конечно еще можно рубить команду POST, но тогда отвалиться возможность например постить
>на форумах.на мой взгляд даже это будет эффективно только для виндузных юзеров.
уж слишком просто под юниксами организовать тунеллирование поверх любого протокола, на хуж случай поверх тогоже ICMP.
>>с этим старается бороться squidGuard, в который забиты почти все web mail
>>сервера, по крайней мере все известные.>на мой взгляд даже это будет эффективно только для виндузных юзеров.
Имхо даже для них неэффективно. Что мешает сообщнику поднять на какой-нибудь тачке (даже необязательно юниховой) с неизвестным еще адресом веб-сервер + WebFTP для разовой или периодической отправки файлов? Сообщник может даже быть ADSL- или Dialup-пользователем.