URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 22602
[ Назад ]

Исходное сообщение
"ftp с командой ls на файерволе Freebsd4.7"
Отправлено veo , 04-Ноя-02 11:58

доброго времени суток
кому не лень - подскажите
как правильно организовать работу с ftp через файервол на основе FreeBSD4.7  и связки ipfw+natd?
столкнулся с тем, что при связке правил
add 545  allow  tcp  from any 20,21 to any
add 545  allow  tcp  from any to any 20,21
фтп сессия через файервол с фтп-сервером в инете благополучно открывается. НО.. не работаяет ls
ПРИЧЕМ клиент переходит в ПАССИВНЫЙ режим (эффект тот же)
открывать же все порты - как то чтремно ( ну и что что там сейчас у меня ни один из демонов не висит):
add 545  allow  tcp  from any 21 to any
add 545  allow  tcp  from any to any 21
add 500  allow  tcp  from 192.168.0.0/16 1024-5000 to any
add 500  allow  tcp  from any to 192.168.0.0/16 1024-5000
PLZ подскажите наиболее оптималную постановку правил на файерволе
заранее СПАСИБО

Содержание

RE: ftp с командой ls на файерволе Freebsd4.7,lavr, 12:02 , 04-Ноя-02
- RE: ftp с командой ls на файерволе Freebsd4.7,veo, 13:14 , 04-Ноя-02
  - RE: ftp с командой ls на файерволе Freebsd4.7,LinaS, 13:23 , 04-Ноя-02
    - RE: ftp с командой ls на файерволе Freebsd4.7,veo, 14:00 , 04-Ноя-02
      - RE: ftp с командой ls на файерволе Freebsd4.7,LinaS, 16:04 , 04-Ноя-02

Сообщения в этом обсуждении

"RE: ftp с командой ls на файерволе Freebsd4.7"
Отправлено lavr , 04-Ноя-02 12:02

>доброго времени суток
>кому не лень - подскажите
>как правильно организовать работу с ftp через файервол на основе FreeBSD4.7
>и связки ipfw+natd?
>
>столкнулся с тем, что при связке правил
>add 545  allow  tcp  from any 20,21 to any
>
>add 545  allow  tcp  from any to any 20,21
>
>фтп сессия через файервол с фтп-сервером в инете благополучно открывается. НО.. не
>работаяет ls
>ПРИЧЕМ клиент переходит в ПАССИВНЫЙ режим (эффект тот же)
>
>открывать же все порты - как то чтремно ( ну и что
>что там сейчас у меня ни один из демонов не висит):
>
>add 545  allow  tcp  from any 21 to any
>
>add 545  allow  tcp  from any to any 21
>
>add 500  allow  tcp  from 192.168.0.0/16 1024-5000 to any
>
>add 500  allow  tcp  from any to 192.168.0.0/16 1024-5000
>
>
>PLZ подскажите наиболее оптималную постановку правил на файерволе
>заранее СПАСИБО

man ftpd

"RE: ftp с командой ls на файерволе Freebsd4.7"
Отправлено veo , 04-Ноя-02 13:14

>man ftpd
оч многословно, Ув LAVR
только что я там прочту - что он для ftp-data открывает порт произ из диапазона 1024-4999 (старый пассив) или 49152..65535(нов)?
только не хочется мне их отурывать все только для выхода наружу на внешние чужие фтп-сервера
подойдет что то вроде
add 550 allow tcp from any to any 20-21 out via ed0 setup
add 550 allow tcp from any 20-21 to any in via ed0 established
???

"RE: ftp с командой ls на файерволе Freebsd4.7"
Отправлено LinaS , 04-Ноя-02 13:23

>>man ftpd
>
>оч многословно, Ув LAVR
>
>только что я там прочту - что он для ftp-data открывает порт
>произ из диапазона 1024-4999 (старый пассив) или 49152..65535(нов)?
>только не хочется мне их отурывать все только для выхода наружу на
>внешние чужие фтп-сервера
>
>подойдет что то вроде
>add 550 allow tcp from any to any 20-21 out via ed0
>setup
>add 550 allow tcp from any 20-21 to any in via
>ed0 established
>???
возможно, я ошибаюсь
это активный режим ftp. соответственно, сервер будет устанавливать соединение с клиентом с 20 порта на верхний клиента (а не наоборот)
пусть меня поправят если что

"RE: ftp с командой ls на файерволе Freebsd4.7"
Отправлено veo , 04-Ноя-02 14:00

>>подойдет что то вроде
>>add 550 allow tcp from any to any 20-21 out via ed0
>>setup
>>add 550 allow tcp from any 20-21 to any in via
>>ed0 established
>>???
>
>возможно, я ошибаюсь
>это активный режим ftp. соответственно, сервер будет устанавливать соединение с клиентом с
>20 порта на верхний клиента (а не наоборот)
>пусть меня поправят если что

а я ошибся в написании правил? ( LinaS - спасибо - эти правила я взял из Вашего совета, уточнив порты - или это излишне?
к сож - чайчас не могу проверить - потому и спрашиваю)

"RE: ftp с командой ls на файерволе Freebsd4.7"
Отправлено LinaS , 04-Ноя-02 16:04

>
>>>подойдет что то вроде
>>>add 550 allow tcp from any to any 20-21 out via ed0
>>>setup
>>>add 550 allow tcp from any 20-21 to any in via
>>>ed0 established
>>>???
>>
>>возможно, я ошибаюсь
>>это активный режим ftp. соответственно, сервер будет устанавливать соединение с клиентом с
>>20 порта на верхний клиента (а не наоборот)
>>пусть меня поправят если что
>
>
>а я ошибся в написании правил? ( LinaS - спасибо - эти
>правила я взял из Вашего совета, уточнив порты - или это
>излишне?
>к сож - чайчас не могу проверить - потому и спрашиваю)

я поняла :)
короче, хватит и так:
ipfw add 500 allow tcp from any 20,21 to any
ipfw add 550 allow tcp from any to 20,21
можно и так:
ipfw add 500 allow tcp from any to any 21 setup
ipfw add 550 allow tcp from any 20 to any setup
ipfw add 600 allow tcp from any to any established
вот