URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 22605
[ Назад ]

Исходное сообщение
"ftp (ls) на файерволе Freebsd4.7"
Отправлено veo , 04-Ноя-02 12:16

доброго времени суток
как правильно организовать работу с ftp через файервол на основе FreeBSD4.7  и связки ipfw+natd?
столкнулся с тем, что при связке правил
add 545  allow  tcp  from any 20,21 to any
add 545  allow  tcp  from any to any 20,21
фтп сессия через файервол с фтп-сервером в инете благополучно открывается. НО.. не работаяет ls
ПРИЧЕМ клиент переходит в ПАССИВНЫЙ режим (эффект тот же)
открывать же все порты - как то чтремно ( ну и что что там сейчас у меня ни один из демонов не висит):
add 545  allow  tcp  from any 21 to any
add 545  allow  tcp  from any to any 21
add 500  allow  tcp  from 192.168.0.0/16 1024-5000 to any
add 500  allow  tcp  from any to 192.168.0.0/16 1024-5000
PLZ подскажите наиболее оптималную постановку правил на файерволе
заранее СПАСИБО

Содержание

RE: ftp (ls) на файерволе Freebsd4.7,LinaS, 12:25 , 04-Ноя-02
- RE: ftp (ls) на файерволе Freebsd4.7,veo, 12:53 , 04-Ноя-02

Сообщения в этом обсуждении

"RE: ftp (ls) на файерволе Freebsd4.7"
Отправлено LinaS , 04-Ноя-02 12:25

>доброго времени суток
>как правильно организовать работу с ftp через файервол на основе FreeBSD4.7
>и связки ipfw+natd?
>
>столкнулся с тем, что при связке правил
>add 545  allow  tcp  from any 20,21 to any
>
>add 545  allow  tcp  from any to any 20,21
>
>фтп сессия через файервол с фтп-сервером в инете благополучно открывается. НО.. не
>работаяет ls
>ПРИЧЕМ клиент переходит в ПАССИВНЫЙ режим (эффект тот же)
>
>открывать же все порты - как то чтремно ( ну и что
>что там сейчас у меня ни один из демонов не висит):
>
>add 545  allow  tcp  from any 21 to any
>
>add 545  allow  tcp  from any to any 21
>
>add 500  allow  tcp  from 192.168.0.0/16 1024-5000 to any
>
>add 500  allow  tcp  from any to 192.168.0.0/16 1024-5000
>
>
>PLZ подскажите наиболее оптималную постановку правил на файерволе
>заранее СПАСИБО
можно, например, так:
add 500 divert natd ip from any to any via ext_iface
add 550 allow tcp from any to any out via ext_iface setup
add 600 allow tcp from any to any established
..................
еще разрешающие правила
.................
add XXX deny ip from any to any
то есть разрешаем setup (SYN) изнутри наружу и дальше входящие-исходящие с установленным флагом ACK. У тебя TCP порты получаются закрыты (нет разрешения setup внутрь), а наружу - с установкой соединения - пожалуйста.

"RE: ftp (ls) на файерволе Freebsd4.7"
Отправлено veo , 04-Ноя-02 12:53

АГА - Спасибо ОГРОМНОЕ - не досмотрел

>>доброго времени суток
>>как правильно организовать работу с ftp через файервол на основе FreeBSD4.7
>>и связки ipfw+natd?
>>
>>столкнулся с тем, что при связке правил
>>add 545  allow  tcp  from any 20,21 to any
>>
>>add 545  allow  tcp  from any to any 20,21
>>
>>фтп сессия через файервол с фтп-сервером в инете благополучно открывается. НО.. не
>>работаяет ls
>>ПРИЧЕМ клиент переходит в ПАССИВНЫЙ режим (эффект тот же)
>>
>>открывать же все порты - как то чтремно ( ну и что
>>что там сейчас у меня ни один из демонов не висит):
>>
>>add 545  allow  tcp  from any 21 to any
>>
>>add 545  allow  tcp  from any to any 21
>>
>>add 500  allow  tcp  from 192.168.0.0/16 1024-5000 to any
>>
>>add 500  allow  tcp  from any to 192.168.0.0/16 1024-5000
>>
>>
>>PLZ подскажите наиболее оптималную постановку правил на файерволе
>>заранее СПАСИБО
>
>можно, например, так:
>
>add 500 divert natd ip from any to any via ext_iface
>add 550 allow tcp from any to any out via ext_iface setup
>
>add 600 allow tcp from any to any established
>..................
>еще разрешающие правила
>.................
>add XXX deny ip from any to any
>
>то есть разрешаем setup (SYN) изнутри наружу и дальше входящие-исходящие с установленным
>флагом ACK. У тебя TCP порты получаются закрыты (нет разрешения setup
>внутрь), а наружу - с установкой соединения - пожалуйста.