The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"пассивный Ftp через ipfw грамотно"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"пассивный Ftp через ipfw грамотно"  +/
Сообщение от Alex123 on 20-Дек-09, 02:48 
Народ, помогите, пожалуйста, я туплю, как грамотно написать правила для фтп в пассивном режиме, есть ли какой нить модуль.

У меня шлюз на фре7 с ядерным натом (ipfw),
как всегда проблема с пассивным фтп, но в инете нашёл решение:
alias_ftp
модуль подгрузил, но вот открывать постоянный доступ на все порты более 1024 во вне очень не хочется, а без него не пашет (и вроде не должно?), можно ли как-то решить это более грамотно?
Как бы динамически отлавливать сессии и порты или фтп клиенты на один порт настроить (тогда какой для винды и никсов посоветуете) или ещё как, я в протоколах не силён, но должно же,  небось быть красивое решение?


Заранее, СПАСИБО,
извиняюсь за чайниковость,
гугл не рулит :(
с уважением,
Alex123

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от sa (??) on 20-Дек-09, 11:44 
отслеживать RELATED соединения
http://www.protocols.ru/modules.php?name=News&file=article&s...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Alex123 on 20-Дек-09, 17:14 
>отслеживать RELATED соединения
>http://www.protocols.ru/modules.php?name=News&file=article&s...

О, СПАСИБО, похоже то что нужно, а как правила для ipfw грамотно написать, чтоб связать с фтп? а то я совсем чайник :(

Заранее СПАСИБО.
С уважением,
Alex123.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Pahanivo email(ok) on 21-Дек-09, 07:59 
>Народ, помогите, пожалуйста, я туплю, как грамотно написать правила для фтп в
>пассивном режиме, есть ли какой нить модуль.

в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты

>[оверквотинг удален]
>порт настроить (тогда какой для винды и никсов посоветуете) или ещё
>как, я в протоколах не силён, но должно же,  небось
>быть красивое решение?
>
>
>Заранее, СПАСИБО,
>извиняюсь за чайниковость,
>гугл не рулит :(
>с уважением,
>Alex123

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Alex123 on 21-Дек-09, 16:37 

>в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты
>

Да если б в сети были только пингвины, спрашиваю по тому, что многие виндовые трояндаунлодеры грузят вири именно с верхних портов :(, вот и не хочется всё подряд разрешать :(

Хотелось бы чтоб ipfw вытягивал порты из служебной сессии и разрешал доступ к ним только на время существования первой...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Pahanivo email(ok) on 21-Дек-09, 18:10 
>
>>в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты
>>
>
>Да если б в сети были только пингвины, спрашиваю по тому, что
>многие виндовые трояндаунлодеры грузят вири именно с верхних портов :(, вот
>и не хочется всё подряд разрешать :(
>
>Хотелось бы чтоб ipfw вытягивал порты из служебной сессии и разрешал доступ
>к ним только на время существования первой...

man natd
     -punch_fw basenumber:count
                 This option directs natd to ``punch holes'' in an
                 ipfirewall(4) based firewall for FTP/IRC DCC connections.
                 This is done dynamically by installing temporary firewall
                 rules which allow a particular connection (and only that con-
                 nection) to go through the firewall.  The rules are removed
                 once the corresponding connection terminates.

по крайней мере с активым все нормально работает
в ядерном нате тоже нормально

попробуй мож с пасивным сканает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Alex123 on 22-Дек-09, 03:42 

>[оверквотинг удален]
>            
>     nection) to go through the firewall.
> The rules are removed
>            
>     once the corresponding connection terminates.
>
>по крайней мере с активым все нормально работает
>в ядерном нате тоже нормально
>
>попробуй мож с пасивным сканает

а как грамотно её конфигить?
я запускаю ИПФВ из под rc.conf:
      
# -- FireWall
firewall_enable="YES"
#natd_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/etc/rc.firewall.myconf"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Pahanivo email(ok) on 22-Дек-09, 08:08 
>[оверквотинг удален]
>>попробуй мож с пасивным сканает
>
>а как грамотно её конфигить?
>я запускаю ИПФВ из под rc.conf:
>
># -- FireWall
>firewall_enable="YES"
>#natd_enable="YES"
>firewall_script="/etc/rc.firewall"
>firewall_type="/etc/rc.firewall.myconf"

эээ ну во первых речь про НАТ!
если нат демоном - в конфиге демона пробуй
если ядерный - то в конфиге ipfw

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Alex123 on 22-Дек-09, 12:14 
>эээ ну во первых речь про НАТ!
>если нат демоном - в конфиге демона пробуй
>если ядерный - то в конфиге ipfw

Ну у меня НАТ ядерный, не НАТд, а ипфв нат...
то ли я туплю, то ли у него нет конфига, правила в /etc/rc.firewall.myconf
но там только правила и другой синтаксис вроде не предусмотрен :(

может что-то через sysctrl выставляется, но я чёт не нашёл :(...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Pahanivo email(ok) on 22-Дек-09, 12:42 
>>эээ ну во первых речь про НАТ!
>>если нат демоном - в конфиге демона пробуй
>>если ядерный - то в конфиге ipfw
>
>Ну у меня НАТ ядерный, не НАТд, а ипфв нат...
>то ли я туплю, то ли у него нет конфига, правила в
>/etc/rc.firewall.myconf
>но там только правила и другой синтаксис вроде не предусмотрен :(
>
>может что-то через sysctrl выставляется, но я чёт не нашёл :(...

man ipfw

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Alex123 on 23-Дек-09, 02:37 

>>может что-то через sysctrl выставляется, но я чёт не нашёл :(...
>
>man ipfw

задаётся через sysctl и через опции ната, но по ману ипфв я её не нашёл, и в сюсстл тоже :(  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "пассивный Ftp через ipfw грамотно"  +/
Сообщение от Pahanivo email(ok) on 23-Дек-09, 08:43 
>
>>>может что-то через sysctrl выставляется, но я чёт не нашёл :(...
>>
>>man ipfw
>
>задаётся через sysctl и через опции ната, но по ману ипфв я
>её не нашёл, и в сюсстл тоже :(

гоню )
punch_fw это для natd - man natd
в ядрёном такой опцайки нет ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру