Здравствуйте. Имеется FreeBSD 4.11 + ipfw
входящие закрыты кроме белого списка (21,22,80)
сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?в линуксе для таких целей есть модуль ядра ftp_conntrak.
а как в FreeBSD решается такая проблема?
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>а как в FreeBSD решается такая проблема?с помощью открытия портов выше 1024
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>
>с помощью открытия портов выше 1024
Это не фаервол, если открыты порты.
Пользователи начинают открывать свои сервисы на "верхних" портах.
Если бы не это обстоятельство, то на этом сервере вообще не нужен был бы firewallесть выход для FreeBSD?
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>
>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>а как в FreeBSD решается такая проблема?
>>
>>с помощью открытия портов выше 1024
>
>
>Это не фаервол, если открыты порты.
>Пользователи начинают открывать свои сервисы на "верхних" портах.
>Если бы не это обстоятельство, то на этом сервере вообще не нужен
>был бы firewall
>
>есть выход для FreeBSD?пересмотреть параноидальный подход к firewall
НЕТ!!!Это на Фре никак не лечится. Этого не умеют ни IPFW, ни IPF, ни широко разрекламированный PF.
Именно из-за этого я перевёл почти все свои сервера с Фри на LINUX.
>НЕТ!!!
>
>Это на Фре никак не лечится. Этого не умеют ни IPFW, ни
>IPF, ни широко разрекламированный PF.
>
>Именно из-за этого я перевёл почти все свои сервера с Фри на
>LINUX.
3.14...шь
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>
>с помощью открытия портов выше 1024Не знаю, актуально или нет, но с proftpd делал так:
Указывал какой-то определенный диапазоп пассивных портов в конфиге proftpd.conf
PassivePorts 50000 50500
Соответственно, в ipfw открывал этот же диапазон...
Не панацея, но просто сужение диапазона открытых портов (уменьшение угрозы).
А как же 20 порт? ftp-data. он необходим для passive
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>а как в FreeBSD решается такая проблема?
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>http://www.opennet.me/openforum/vsluhforumID1/56219.html
ну это же не выход. а если клиент откроет на 3333 порту демон свой? pure-ftp его уже не вышибет - способ по крайней мере не надежный!lavr: а что за параноид режим?
в rc.firewall нашел только:
# open - will allow anyone in
# client - will try to protect just this machine
# simple - will try to protect a whole network
# closed - totally disables IP services except via lo0 interface
# UNKNOWN - disables the loading of firewall rules.
# filename - will load the rules in the given filename (full path required)
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>
>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>а как в FreeBSD решается такая проблема?
>>
>
>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>ну это же не выход. а если клиент откроет на 3333 порту
>демон свой? pure-ftp его уже не вышибет - способ по крайней
>мере не надежный!какой клиент? это что, на боевом сервере интерактивные клиенты?!
>lavr: а что за параноид режим?
это когда всем портам >1024 делают ipfw deny
>в rc.firewall нашел только:
дык это обычные шаблоны, ну кроме open, те как пример
># open - will allow anyone
>in
># client - will try to protect just
>this machine
># simple - will try to protect a
>whole network
># closed - totally disables IP services except
>via lo0 interface
># UNKNOWN - disables the loading of firewall rules.
>
># filename - will load the rules in the given
>filename (full path required)
1) ipfw add 0 paranoid ;)
2) iexplorer.exe http://www.XacKePaMM-fUcKK!@.ru -open_port_on_must-die-server=3333 :(((333)))
чётотынетоиликто-тоизнасспит...сам подумай - не ты первый, не последний (видимо) - и поиск ничего не дал7?
насчёт шаблоноф = никогда.
>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>>входящие закрыты кроме белого списка (21,22,80)
>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>>
>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>>а как в FreeBSD решается такая проблема?
>>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>>ну это же не выход. а если клиент откроет на 3333 порту
>>демон свой? pure-ftp его уже не вышибет - способ по крайней
>>мере не надежный!
>
>какой клиент? это что, на боевом сервере интерактивные клиенты?!
не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты"клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую нечисть типа bindshell'ов.
>
>>lavr: а что за параноид режим?
>
>это когда всем портам >1024 делают ipfw deny
это нормальный подход в условиях шаред хостинга.
я еще в первом посте написал, что именно все остальные порты закрыты
(>1024 в том числе)
>
это и
>>в rc.firewall нашел только:
>
>дык это обычные шаблоны, ну кроме open, те как пример
>
>># open - will allow anyone
>>in
>># client - will try to protect just
>>this machine
>># simple - will try to protect a
>>whole network
>># closed - totally disables IP services except
>>via lo0 interface
>># UNKNOWN - disables the loading of firewall rules.
>>
>># filename - will load the rules in the given
>>filename (full path required)
Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20 одновременных подключений к фтп + нельзя открывать дополнительные порты"
Я не прав?
>>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>>>входящие закрыты кроме белого списка (21,22,80)
>>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>>>
>>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>>>а как в FreeBSD решается такая проблема?
>>>>
>>>
>>>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>>>ну это же не выход. а если клиент откроет на 3333 порту
>>>демон свой? pure-ftp его уже не вышибет - способ по крайней
>>>мере не надежный!
>>
>>какой клиент? это что, на боевом сервере интерактивные клиенты?!
>не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты"
>
>клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую
>нечисть типа bindshell'ов.
>>
>>>lavr: а что за параноид режим?
>>
>>это когда всем портам >1024 делают ipfw deny
>это нормальный подход в условиях шаред хостинга.
>я еще в первом посте написал, что именно все остальные порты закрыты
>
>(>1024 в том числе)
>>
>это и
>>>в rc.firewall нашел только:
>>
>>дык это обычные шаблоны, ну кроме open, те как пример
>>
>>># open - will allow anyone
>>>in
>>># client - will try to protect just
>>>this machine
>>># simple - will try to protect a
>>>whole network
>>># closed - totally disables IP services except
>>>via lo0 interface
>>># UNKNOWN - disables the loading of firewall rules.
>>>
>>># filename - will load the rules in the given
>>>filename (full path required)
>
>
>Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20
>одновременных подключений к фтп + нельзя открывать дополнительные порты"
>Я не прав?Может так?
${fwcmd} add pass tcp from any to any 20
${fwcmd} add pass tcp from any 20 to any
${fwcmd} add pass tcp from any to any 21
${fwcmd} add pass tcp from any 21 to any
${fwcmd} add pass tcp from any to ${myip} 49152-65535
${fwcmd} add pass tcp from ${myip} 49152-65535 to anyOS FreeBSD 4.11-RELEASE-p11
Штатный FTP
>>>>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>>>>входящие закрыты кроме белого списка (21,22,80)
>>>>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>>>>
>>>>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>>>>а как в FreeBSD решается такая проблема?
>>>>>
>>>>
>>>>http://www.opennet.me/openforum/vsluhforumID1/56219.html
>>>>ну это же не выход. а если клиент откроет на 3333 порту
>>>>демон свой? pure-ftp его уже не вышибет - способ по крайней
>>>>мере не надежный!
>>>
>>>какой клиент? это что, на боевом сервере интерактивные клиенты?!
>>не совсем понимаю что вы имеете ввиду под словами "интерактивные клиенты"
>>
>>клиенты шаред хостинга, открывают чаты (dima_chat), а также имеют возможность устанавливать всякую
>>нечисть типа bindshell'ов.
>>>
>>>>lavr: а что за параноид режим?
>>>
>>>это когда всем портам >1024 делают ipfw deny
>>это нормальный подход в условиях шаред хостинга.
>>я еще в первом посте написал, что именно все остальные порты закрыты
>>
>>(>1024 в том числе)
>>>
>>это и
>>>>в rc.firewall нашел только:
>>>
>>>дык это обычные шаблоны, ну кроме open, те как пример
>>>
>>>># open - will allow anyone
>>>>in
>>>># client - will try to protect just
>>>>this machine
>>>># simple - will try to protect a
>>>>whole network
>>>># closed - totally disables IP services except
>>>>via lo0 interface
>>>># UNKNOWN - disables the loading of firewall rules.
>>>>
>>>># filename - will load the rules in the given
>>>>filename (full path required)
>>
>>
>>Получается, что задача не решаема для сервера "FreeBSD4 + ipfw + 10-20
>>одновременных подключений к фтп + нельзя открывать дополнительные порты"
>>Я не прав?
>
>Может так?
>
> ${fwcmd} add pass tcp
>from any to any 20
> ${fwcmd} add pass tcp
>from any 20 to any
> ${fwcmd} add pass tcp
>from any to any 21
> ${fwcmd} add pass tcp
>from any 21 to any
> ${fwcmd} add pass tcp
>from any to ${myip} 49152-65535в кадом посте повторяю "+ нельзя открывать дополнительные порты" :-)
> ${fwcmd} add pass tcp
>from ${myip} 49152-65535 to any
>
>OS FreeBSD 4.11-RELEASE-p11
>Штатный FTP
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>а как в FreeBSD решается такая проблема?Только для PF и Фрей 5-6-7:
Наводка 1: http://btf.ru/pftpx/
Наводка 2: http://www.pfsense.com/~sullrich/ftpsesame-0.95.tgzГугль - хороший, надо лучшее искать :) Для 4-ки - болт.
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>а как в FreeBSD решается такая проблема?
>
>Только для PF и Фрей 5-6-7:
>
>Наводка 1: http://btf.ru/pftpx/
>Наводка 2: http://www.pfsense.com/~sullrich/ftpsesame-0.95.tgz
>
>Гугль - хороший, надо лучшее искать :) Для 4-ки - болт.На самом деле не болт. :)
Мой вариант работает и на четверке тоже.
В качестве ftpd ставится vsftpd. У него в конфиге можно задать диапазон верхних портов для "passive ftp" режима.
Дальше - разрешаешь на ipfw вход снаружи по tcp на 21 и, к примеру, 49990-50000 порты(как в конфиге у vsftpd). И все!
У меня это работало еще в бытность FreeBSD 4.7
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>>
>>>в линуксе для таких целей есть модуль ядра ftp_conntrak.
>>>а как в FreeBSD решается такая проблема?
>>
>>Только для PF и Фрей 5-6-7:
>>
>>Наводка 1: http://btf.ru/pftpx/
>>Наводка 2: http://www.pfsense.com/~sullrich/ftpsesame-0.95.tgz
>>
>>Гугль - хороший, надо лучшее искать :) Для 4-ки - болт.
>
>На самом деле не болт. :)
>Мой вариант работает и на четверке тоже.
>В качестве ftpd ставится vsftpd. У него в конфиге можно задать диапазон
>верхних портов для "passive ftp" режима.
>Дальше - разрешаешь на ipfw вход снаружи по tcp на 21 и,
>к примеру, 49990-50000 порты(как в конфиге у vsftpd). И все!
>У меня это работало еще в бытность FreeBSD 4.7Читать условия задачи - порты не открывать - у парня там _бяки_ хостяться - могу каку поставить :)))
>Читать условия задачи - порты не открывать - у парня там _бяки_
>хостяться - могу каку поставить :)))Я читал, что vsftpd превозносят, как самый защищенный ftp сервер для *nix'ов. Хотя... При большом тщании можно сломать даже наковальню...
>>Читать условия задачи - порты не открывать - у парня там _бяки_
>>хостяться - могу каку поставить :)))
>
>Я читал, что vsftpd превозносят, как самый защищенный ftp сервер для *nix'ов.
>Хотя... При большом тщании можно сломать даже наковальню...При чем здесь это? Админ не хочет окрывать незабинденные порты, т.к. усеры могут на эти открытые порты поставить все че угодно, что сильно расходится с планами админа.
Ага - наковальню - попробуй
>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>входящие закрыты кроме белого списка (21,22,80)
>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?Вообще-то, у ipfw есть uid и gid правила. Откройте порты >1024 для юзера ftp, для остальных закройте.
>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>входящие закрыты кроме белого списка (21,22,80)
>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>
>Вообще-то, у ipfw есть uid и gid правила. Откройте порты >1024 для юзера ftp, для остальных закройте.
разьве фтп сервер биндит порт для пассива от uid ftp?
хм, сейчас проверим :)
>>>Здравствуйте. Имеется FreeBSD 4.11 + ipfw
>>>входящие закрыты кроме белого списка (21,22,80)
>>>сломал голову уже и клаву на гугле. Как разрешить коннекты для пассивного режима ftp сервера? т.е. чтобы открытые им >1024 порты были доступы?
>>
>>Вообще-то, у ipfw есть uid и gid правила. Откройте порты >1024 для юзера ftp, для остальных закройте.
>
>
>разьве фтп сервер биндит порт для пассива от uid ftp?
>хм, сейчас проверим :)
rus77 pure-ftp 37590 6 tcp4 85.142.33.50:28509 *:*Нет несработало. Порт открыт от uid пользователя. Да и данные приходят на uid пользователя
>>разьве фтп сервер биндит порт для пассива от uid ftp?
>>хм, сейчас проверим :)
>rus77 pure-ftp 37590 6 tcp4
> 85.142.33.50:28509 *:*
>
>Нет несработало. Порт открыт от uid пользователя. Да и данные приходят на
>uid пользователяХм. Можно ftp в jail и фильтровать по jid, но этого в 4.11, насколько я помню, нет.
А по gid-у?
>А по gid-у?
Вы че шутите для пассива и актива нужно юзать ftp-proxy , ента вешч имеется во всех БСД дистрибутивах, загляните в inetd.conf!
>>А по gid-у?
>Вы че шутите для пассива и актива нужно юзать ftp-proxy , ента
>вешч имеется во всех БСД дистрибутивах, загляните в inetd.conf!
гы, правда Ваша. Согласен.