forum.opennet.ru - "подскажите граМотные правила ipfw для пассивного FTP сервер..." (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"подскажите граМотные правила ipfw для пассивного FTP сервер..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"подскажите граМотные правила ipfw для пассивного FTP сервер..."
Сообщение от Rojer on 25-Янв-05, 22:05 (MSK)
подскажите граМотные правила ipfw для открытия пассивного FTP? freebsd 4.9 сейчас использую allow tcp from ext_ip 1000-65536 to any 1000-65535 out xmit ext_if allow tcp from any 1000-65535 to exp_ip 1000-65535 in recv ext_if established кои не являются безопасными,может кто подскажет более "безопасный" набор правил для ftp сервера с поддержкой пассивного режима
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

подскажите граМотные правила ipfw для пассивного FTP сервер..., kir, 00:03 , 26-Янв-05, (1)
подскажите граМотные правила ipfw для пассивного FTP сервер..., Danil, 09:51 , 26-Янв-05, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "подскажите граМотные правила ipfw для  пассивного FTP сервер..."

Сообщение от kir (??) on 26-Янв-05, 00:03  (MSK)

man ipnat
а вообще если bsd => ~5.3 то pf+proxy-ftp

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "подскажите граМотные правила ipfw для  пассивного FTP сервер..."

Сообщение от Danil (??) on 26-Янв-05, 09:51  (MSK)

Хм.. то ли я не проснулся ещё =) то ли действительно всё наоборот %-)
Судя по примеру правил, надо подключаться к пассивным ftp.
Во-первых, при втором правиле возможно ack-сканирование портов (допустим, может выясниться, что у тебя, например, socks есть, sql какой-нить и т.д.).
Во-вторых, это проще сделать с keep-state - просто добавить в первое правило в конце keep-state, и тогда второе правило вообще не нужно. Будет безопаснее.
Если это всё-таки набор правил для ftp-сервера. Я использую vsftpd, там вот можно задать диапазон портов, из которого он будет выбирать порт для пассивного режима. Я ограничился сотней где-нибудь "повыше" - в районе 60 тысяч, 50, 40 примерно. И вот ко всем этим портам разрешаешь поннектиться извне.
Думаю, в других серверах также можно задать такие диапазоны.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "подскажите граМотные правила ipfw для пассивного FTP сервер..."
Сообщение от kir (??) on 26-Янв-05, 00:03 (MSK)
man ipnat а вообще если bsd => ~5.3 то pf+proxy-ftp
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "подскажите граМотные правила ipfw для пассивного FTP сервер..."
Сообщение от Danil (??) on 26-Янв-05, 09:51 (MSK)
Хм.. то ли я не проснулся ещё =) то ли действительно всё наоборот %-) Судя по примеру правил, надо подключаться к пассивным ftp. Во-первых, при втором правиле возможно ack-сканирование портов (допустим, может выясниться, что у тебя, например, socks есть, sql какой-нить и т.д.). Во-вторых, это проще сделать с keep-state - просто добавить в первое правило в конце keep-state, и тогда второе правило вообще не нужно. Будет безопаснее. Если это всё-таки набор правил для ftp-сервера. Я использую vsftpd, там вот можно задать диапазон портов, из которого он будет выбирать порт для пассивного режима. Я ограничился сотней где-нибудь "повыше" - в районе 60 тысяч, 50, 40 примерно. И вот ко всем этим портам разрешаешь поннектиться извне. Думаю, в других серверах также можно задать такие диапазоны.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх