URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62475
[ Назад ]

Исходное сообщение
"FreeBSD + Passive mode FTP"

Отправлено ed , 07-Дек-05 01:09 
Здравствуйте. Имеется FreeBSD 4.11 + ipfw
входящие закрыты кроме белого списка (21,22,80)
сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?

в линуксе для таких целей есть модуль ядра ftp_conntrak.
а как в FreeBSD решается такая проблема?


Содержание

Сообщения в этом обсуждении
"FreeBSD + Passive mode FTP"
Отправлено crash , 07-Дек-05 02:30 
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>а как в FreeBSD решается такая проблема?

с помощью открытия портов выше 1024


"FreeBSD + Passive mode FTP"
Отправлено ed , 07-Дек-05 11:41 
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>
>с помощью открытия портов выше 1024


Это не фаервол, если открыты порты.
Пользователи начинают открывать свои сервисы на "верхних" портах.
Если бы не это обстоятельство, то на этом сервере вообще не нужен был бы firewall

есть выход для FreeBSD?


"FreeBSD + Passive mode FTP"
Отправлено lavr , 07-Дек-05 12:35 
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>
>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>а как в FreeBSD решается такая проблема?
>>
>>с помощью открытия портов выше 1024
>
>
>Это не фаервол, если открыты порты.
>Пользователи начинают открывать свои сервисы на "верхних" портах.
>Если бы не это обстоятельство, то на этом сервере вообще не нужен
>был бы firewall
>
>есть выход для FreeBSD?

пересмотреть параноидальный подход к firewall


"FreeBSD + Passive mode FTP"
Отправлено Cyc , 15-Дек-05 01:19 
НЕТ!!!

Это на Фре никак не лечится. Этого не умеют ни IPFW, ни IPF, ни широко разрекламированный PF.

Именно из-за этого я перевёл почти все свои сервера с Фри на LINUX.


"FreeBSD + Passive mode FTP"
Отправлено gdenis , 15-Дек-05 15:35 
>НЕТ!!!
>
>Это на Фре никак не лечится. Этого не умеют ни IPFW, ни
>IPF, ни широко разрекламированный PF.
>
>Именно из-за этого я перевёл почти все свои сервера с Фри на
>LINUX.


3.14...шь


"FreeBSD + Passive mode FTP"
Отправлено Владимир , 20-Июл-07 09:03 
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>
>с помощью открытия портов выше 1024

Не знаю, актуально или нет, но с proftpd делал так:

Указывал какой-то определенный диапазоп пассивных портов в конфиге proftpd.conf

PassivePorts 50000 50500

Соответственно, в ipfw открывал этот же диапазон...

Не панацея, но просто сужение диапазона открытых портов (уменьшение угрозы).


"FreeBSD + Passive mode FTP"
Отправлено Assorted , 07-Дек-05 11:44 
А как же 20 порт? ftp-data. он необходим для passive

"FreeBSD + Passive mode FTP"
Отправлено ссс , 07-Дек-05 12:52 
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>а как в FreeBSD решается такая проблема?

http://www.opennet.me/openforum/vsluhforumID1/56219.html


"FreeBSD + Passive mode FTP"
Отправлено ed , 07-Дек-05 13:32 
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>

http://www.opennet.me/openforum/vsluhforumID1/56219.html
ну это же не выход. а если клиент откроет на 3333 порту демон свой? pure-ftp его уже не вышибет - способ по крайней мере не надежный!

lavr: а что за параноид режим?

в rc.firewall нашел только:

#   open     - will allow anyone in
#   client   - will try to protect just this machine
#   simple   - will try to protect a whole network
#   closed   - totally disables IP services except via lo0 interface
#   UNKNOWN  - disables the loading of firewall rules.
#   filename - will load the rules in the given filename (full path required)


"FreeBSD + Passive mode FTP"
Отправлено lavr , 07-Дек-05 14:09 
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>
>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>а как в FreeBSD решается такая проблема?
>>
>
>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>ну это же не выход. а если клиент откроет на 3333 порту
>демон свой? pure-ftp его уже не вышибет - способ по крайней
>мере не надежный!

какой клиент? это что, на боевом сервере интерактивные клиенты?!

>lavr: а что за параноид режим?

это когда всем портам >1024 делают ipfw deny

>в rc.firewall нашел только:

дык это обычные шаблоны, ну кроме open, те как пример

>#   open     - will allow anyone
>in
>#   client   - will try to protect just
>this machine
>#   simple   - will try to protect a
>whole network
>#   closed   - totally disables IP services except
>via lo0 interface
>#   UNKNOWN  - disables the loading of firewall rules.
>
>#   filename - will load the rules in the given
>filename (full path required)


"FreeBSD + Passive mode FTP"
Отправлено joik , 07-Дек-05 14:29 
1) ipfw add 0 paranoid ;)
2) iexplorer.exe http://www.XacKePaMM-fUcKK!@.ru -open_port_on_must-die-server=3333 :(((333)))
чётотынетоиликто-тоизнасспит...

сам подумай - не ты первый, не последний (видимо) - и поиск ничего не дал7?

насчёт шаблоноф = никогда.


"FreeBSD + Passive mode FTP"
Отправлено ed , 08-Дек-05 10:04 
>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>>входящие закрыты кроме белого списка (21,22,80)
>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>>
>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>>а как в FreeBSD решается такая проблема?
>>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>>ну это же не выход. а если клиент откроет на 3333 порту
>>демон свой? pure-ftp его уже не вышибет - способ по крайней
>>мере не надежный!
>
>какой клиент? это что, на боевом сервере интерактивные клиенты?!
не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты"

клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую нечисть типа bindshell'ов.
>
>>lavr: а что за параноид режим?
>
>это когда всем портам >1024 делают ipfw deny
это нормальный подход в условиях шаред хостинга.
я еще в первом посте написал, что именно все остальные порты закрыты
(>1024 в том числе)
>
это и
>>в rc.firewall нашел только:
>
>дык это обычные шаблоны, ну кроме open, те как пример
>
>>#   open     - will allow anyone
>>in
>>#   client   - will try to protect just
>>this machine
>>#   simple   - will try to protect a
>>whole network
>>#   closed   - totally disables IP services except
>>via lo0 interface
>>#   UNKNOWN  - disables the loading of firewall rules.
>>
>>#   filename - will load the rules in the given
>>filename (full path required)


Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20 одновременных подключений к фтп + нельзя открывать дополнительные порты"
Я не прав?


"FreeBSD + Passive mode FTP"
Отправлено Anatoliy , 08-Дек-05 10:44 
>>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>>>входящие закрыты кроме белого списка (21,22,80)
>>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>>>
>>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>>>а как в FreeBSD решается такая проблема?
>>>>
>>>
>>>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>>>ну это же не выход. а если клиент откроет на 3333 порту
>>>демон свой? pure-ftp его уже не вышибет - способ по крайней
>>>мере не надежный!
>>
>>какой клиент? это что, на боевом сервере интерактивные клиенты?!
>не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты"
>
>клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую
>нечисть типа bindshell'ов.
>>
>>>lavr: а что за параноид режим?
>>
>>это когда всем портам >1024 делают ipfw deny
>это нормальный подход в условиях шаред хостинга.
>я еще в первом посте написал, что именно все остальные порты закрыты
>
>(>1024 в том числе)
>>
>это и
>>>в rc.firewall нашел только:
>>
>>дык это обычные шаблоны, ну кроме open, те как пример
>>
>>>#   open     - will allow anyone
>>>in
>>>#   client   - will try to protect just
>>>this machine
>>>#   simple   - will try to protect a
>>>whole network
>>>#   closed   - totally disables IP services except
>>>via lo0 interface
>>>#   UNKNOWN  - disables the loading of firewall rules.
>>>
>>>#   filename - will load the rules in the given
>>>filename (full path required)
>
>
>Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20
>одновременных подключений к фтп + нельзя открывать дополнительные порты"
>Я не прав?

Может так?

        ${fwcmd} add pass tcp from any to any 20
        ${fwcmd} add pass tcp from any 20 to any
        ${fwcmd} add pass tcp from any to any 21
        ${fwcmd} add pass tcp from any 21 to any
        ${fwcmd} add pass tcp from any to ${myip} 49152-65535
        ${fwcmd} add pass tcp from ${myip} 49152-65535 to any

OS FreeBSD 4.11-RELEASE-p11
Штатный FTP


"FreeBSD + Passive mode FTP"
Отправлено ed , 08-Дек-05 10:59 
>>>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>>>>входящие закрыты кроме белого списка (21,22,80)
>>>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>>>>
>>>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>>>>а как в FreeBSD решается такая проблема?
>>>>>
>>>>
>>>>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>>>>ну это же не выход. а если клиент откроет на 3333 порту
>>>>демон свой? pure-ftp его уже не вышибет - способ по крайней
>>>>мере не надежный!
>>>
>>>какой клиент? это что, на боевом сервере интерактивные клиенты?!
>>не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты"
>>
>>клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую
>>нечисть типа bindshell'ов.
>>>
>>>>lavr: а что за параноид режим?
>>>
>>>это когда всем портам >1024 делают ipfw deny
>>это нормальный подход в условиях шаред хостинга.
>>я еще в первом посте написал, что именно все остальные порты закрыты
>>
>>(>1024 в том числе)
>>>
>>это и
>>>>в rc.firewall нашел только:
>>>
>>>дык это обычные шаблоны, ну кроме open, те как пример
>>>
>>>>#   open     - will allow anyone
>>>>in
>>>>#   client   - will try to protect just
>>>>this machine
>>>>#   simple   - will try to protect a
>>>>whole network
>>>>#   closed   - totally disables IP services except
>>>>via lo0 interface
>>>>#   UNKNOWN  - disables the loading of firewall rules.
>>>>
>>>>#   filename - will load the rules in the given
>>>>filename (full path required)
>>
>>
>>Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20
>>одновременных подключений к фтп + нельзя открывать дополнительные порты"
>>Я не прав?
>
>Может так?
>
>        ${fwcmd} add pass tcp
>from any to any 20
>        ${fwcmd} add pass tcp
>from any 20 to any
>        ${fwcmd} add pass tcp
>from any to any 21
>        ${fwcmd} add pass tcp
>from any 21 to any
>        ${fwcmd} add pass tcp
>from any to ${myip} 49152-65535

в кадом посте повторяю "+ нельзя открывать дополнительные порты" :-)


>        ${fwcmd} add pass tcp
>from ${myip} 49152-65535 to any
>
>OS FreeBSD 4.11-RELEASE-p11
>Штатный FTP



"FreeBSD + Passive mode FTP"
Отправлено gdenis , 08-Дек-05 16:52 
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>а как в FreeBSD решается такая проблема?

Только для PF и Фрей 5-6-7:

Наводка 1: http://btf.ru/pftpx/
Наводка 2: http://www.pfsense.com/~sullrich/ftpsesame-0.95.tgz

Гугль - хороший, надо лучшее искать :) Для 4-ки - болт.


"FreeBSD + Passive mode FTP"
Отправлено San , 08-Дек-05 17:19 
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>
>Только для PF и Фрей 5-6-7:
>
>Наводка 1: http://btf.ru/pftpx/
>Наводка 2: http://www.pfsense.com/~sullrich/ftpsesame-0.95.tgz
>
>Гугль - хороший, надо лучшее искать :) Для 4-ки - болт.

На самом деле не болт. :)
Мой вариант работает и на четверке тоже.
В качестве ftpd ставится vsftpd. У него в конфиге можно задать диапазон верхних портов для "passive ftp" режима.
Дальше - разрешаешь на ipfw вход снаружи по tcp на 21 и, к примеру, 49990-50000 порты(как в конфиге у vsftpd). И все!
У меня это работало еще в бытность FreeBSD 4.7


"FreeBSD + Passive mode FTP"
Отправлено gdenis , 08-Дек-05 17:27 
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>
>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>а как в FreeBSD решается такая проблема?
>>
>>Только для PF и Фрей 5-6-7:
>>
>>Наводка 1: http://btf.ru/pftpx/
>>Наводка 2: http://www.pfsense.com/~sullrich/ftpsesame-0.95.tgz
>>
>>Гугль - хороший, надо лучшее искать :) Для 4-ки - болт.
>
>На самом деле не болт. :)
>Мой вариант работает и на четверке тоже.
>В качестве ftpd ставится vsftpd. У него в конфиге можно задать диапазон
>верхних портов для "passive ftp" режима.
>Дальше - разрешаешь на ipfw вход снаружи по tcp на 21 и,
>к примеру, 49990-50000 порты(как в конфиге у vsftpd). И все!
>У меня это работало еще в бытность FreeBSD 4.7

Читать условия задачи - порты не открывать - у парня там _бяки_ хостяться - могу каку поставить :)))


"FreeBSD + Passive mode FTP"
Отправлено San , 08-Дек-05 19:22 
>Читать условия задачи - порты не открывать - у парня там _бяки_
>хостяться - могу каку поставить :)))

Я читал, что vsftpd превозносят, как самый защищенный ftp сервер для *nix'ов. Хотя... При большом тщании можно сломать даже наковальню...


"FreeBSD + Passive mode FTP"
Отправлено gdenis , 09-Дек-05 16:57 
>>Читать условия задачи - порты не открывать - у парня там _бяки_
>>хостяться - могу каку поставить :)))
>
>Я читал, что vsftpd превозносят, как самый защищенный ftp сервер для *nix'ов.
>Хотя... При большом тщании можно сломать даже наковальню...

При чем здесь это? Админ не хочет окрывать незабинденные порты, т.к. усеры могут на эти открытые порты поставить все че угодно, что сильно расходится с планами админа.

Ага - наковальню - попробуй


"FreeBSD + Passive mode FTP"
Отправлено AMDmi3 , 08-Дек-05 19:43 
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?

Вообще-то, у ipfw есть uid и gid правила. Откройте порты >1024 для юзера ftp, для остальных закройте.


"FreeBSD + Passive mode FTP"
Отправлено ed , 08-Дек-05 21:20 
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>Вообще-то, у ipfw есть uid и gid правила. Откройте порты >1024 для юзера ftp, для остальных закройте.


разьве фтп сервер биндит порт для пассива от uid ftp?
хм, сейчас проверим :)


"FreeBSD + Passive mode FTP"
Отправлено ed , 08-Дек-05 21:46 
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>Вообще-то, у ipfw есть uid и gid правила. Откройте порты >1024 для юзера ftp, для остальных закройте.
>
>
>разьве фтп сервер биндит порт для пассива от uid ftp?
>хм, сейчас проверим :)
rus77    pure-ftp 37590    6 tcp4   85.142.33.50:28509    *:*

Нет несработало. Порт открыт от uid пользователя. Да и данные приходят на uid пользователя


"FreeBSD + Passive mode FTP"
Отправлено AMDmi3 , 08-Дек-05 23:10 
>>разьве фтп сервер биндит порт для пассива от uid ftp?
>>хм, сейчас проверим :)
>rus77    pure-ftp 37590    6 tcp4  
> 85.142.33.50:28509    *:*
>
>Нет несработало. Порт открыт от uid пользователя. Да и данные приходят на
>uid пользователя

Хм. Можно ftp в jail и фильтровать по jid, но этого в 4.11, насколько я помню, нет.


"FreeBSD + Passive mode FTP"
Отправлено DEC , 22-Дек-05 13:50 
А по gid-у?

"FreeBSD + Passive mode FTP"
Отправлено roos , 22-Дек-05 15:40 
>А по gid-у?
Вы че шутите для пассива и актива нужно юзать ftp-proxy , ента вешч имеется во всех БСД дистрибутивах, загляните в inetd.conf!

"FreeBSD + Passive mode FTP"
Отправлено DEC , 23-Дек-05 15:48 
>>А по gid-у?
>Вы че шутите для пассива и актива нужно юзать ftp-proxy , ента
>вешч имеется во всех БСД дистрибутивах, загляните в inetd.conf!
гы, правда Ваша. Согласен.