форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"я говорю ipfw и 'мать-мать-мать..' откликается природа.."
Сообщение от Settler on 20-Сен-05, 01:29  (MSK)
есть в этом чуде freebsd-строения какой-то нормальный аналог connection tracking как в iptables/netfilter ?! я хочу нормальный ftp, всегда - как на инициированные сервером, так и на входящие на сервер.. хочу разрешать коннекты только на один порт и не со всей сети на все мои высокие порты! очень хочется получить конструктивные советы. может я что-то за полгода использования freebsd просто не увидел. спасибо.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
Сообщение от MoHaX (??) on 20-Сен-05, 04:53  (MSK)
Давно не работал с iptables, напомните, что есть connection tracking? И какие проблемы с ftp?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
	Сообщение от Settler on 20-Сен-05, 06:40  (MSK)
	>Давно не работал с iptables, напомните, что есть connection tracking? >И какие проблемы с ftp? в линукс есть модули - отслеживающие протоколы - например ftp - и когда ftp клиент-сервер договариваются - по каким портам прокинуть ftp-data-поток - это соединение пропускаeтся iptables тоже. проблема в том, что в ipfw этого как я понимаю - нет.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
Сообщение от littlevik on 20-Сен-05, 05:17  (MSK)
>есть в этом чуде freebsd-строения какой-то нормальный аналог connection tracking как в >iptables/netfilter ?! > >я хочу нормальный ftp, всегда - как на инициированные сервером, так и >на входящие на сервер.. хочу разрешать коннекты только на один порт >и не со всей сети на все мои высокие порты! Позвольте, а вы что - нибудь слышали о passive-mode и active-mode ftp? > >очень хочется получить конструктивные советы. может я что-то за полгода использования freebsd >просто не увидел. спасибо.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
	Сообщение от Settler on 20-Сен-05, 06:46  (MSK)
	>>есть в этом чуде freebsd-строения какой-то нормальный аналог connection tracking как в >>iptables/netfilter ?! >> >>я хочу нормальный ftp, всегда - как на инициированные сервером, так и >>на входящие на сервер.. хочу разрешать коннекты только на один порт >>и не со всей сети на все мои высокие порты! >Позвольте, а вы что - нибудь слышали о passive-mode и active-mode ftp? естественно я знаю, что они есть :) не могу понять в чем их смысл и разница в _реальной_жизни_.. много-много раз читал и всегда не могу понять.. :( в каком случае достаточно открыть на сервере и 20 порт то-же и этого будет достаточно и почему при открытом 20+21 порте не работает ни тот и не другой режимы? хочу вот так ipfw add allow ip from any to any out ipfw add allow tcp from any to server_ip 20-21 in зачем вообще нужен 20 порт если ftp-data соединение не работает _по_умолчанию_ с этого порта? а оно не работает! я-же вижу кто клиент-сервер устанавливают соединение по высоким портам :(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
	Сообщение от Settler on 20-Сен-05, 06:51  (MSK)
	ах-да, это конечно только для ftpd на сервере. еще хотелось-бы что-бы работали исходящий ftp. опять-же кастрированный established, который не работает для udp/icmp... хочу чуда как в linux! :)))
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
	Сообщение от MoHaX (??) on 20-Сен-05, 07:12  (MSK)
	>ах-да, это конечно только для ftpd на сервере. >еще хотелось-бы что-бы работали исходящий ftp. > >опять-же кастрированный established, который не работает для udp/icmp... >хочу чуда как в linux! :))) Чудес не бывает! ;) А keep-state это не из этой оперы? На счёт открытия верхних портов (это надо для пассив моде). Обычно в настройках фтп серверов есть возможность указать диапазон этих самых верхних портов и не надо их всех открывать. На счёт пассив. и актив фтп: Non-Passive Mode ( Aclive ) port 21, 20 C port>1024 -----------------> S port 21 C port>1024 <---------------- S port 21 C port >1024 <---------------- S port 20 (server initiates data xfr) C port >1024 ----------------> S port 20 Passive Mode port 21, >1024 C port>1024 -----------------> S port 21 C port>1024 <---------------- S port 21 C port >1024 ----------------> S port > 1024 (client requests data xfr) C port >1024 <--------------- S port > 1024
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
	Сообщение от newser (ok) on 20-Сен-05, 10:26  (MSK)
	>опять-же кастрированный established, который не работает для udp/icmp... Простите, но established НИКАКОГО отношения к udp/icmp НЕ имеет!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
	Сообщение от Settler on 20-Сен-05, 10:49  (MSK)
	>>опять-же кастрированный established, который не работает для udp/icmp... > >Простите, но established НИКАКОГО отношения к udp/icmp НЕ имеет! в Linux/iptables имеет. тем и удобно. http://iptables-tutorial.frozentux.net/iptables-tutorial.html#USERLANDSTATES и кстати то что я хочу от ftp там называеться RELATED оказываеться, я их всегда только вместе употреблял ( ESTABLISHED,RELATED ) :) ок, пусть в ipfw не имеет. так что там это заменяет? или как делать "красиво-правильно"?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "я говорю ipfw и 'мать-мать-мать..' откликается природа.."
	Сообщение от newser (ok) on 20-Сен-05, 11:00  (MSK)
	>>>опять-же кастрированный established, который не работает для udp/icmp... >> >>Простите, но established НИКАКОГО отношения к udp/icmp НЕ имеет! > > >в Linux/iptables имеет. тем и удобно. >http://iptables-tutorial.frozentux.net/iptables-tutorial.html#USERLANDSTATES > >и кстати то что я хочу от ftp там называеться RELATED оказываеться, >я их всегда только вместе употреблял ( ESTABLISHED,RELATED ) :) > >ок, пусть в ipfw не имеет. так что там это заменяет? или >как делать "красиво-правильно"? С iptables не работал, а в ipfw: established     Matches TCP packets that have the RST or ACK bits set. Для udp/icmp можно использовать динамические правила совместно с keep-state. Функционала ipfw вполне достаточно. man ipfw
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.