forum.opennet.ru - "Чем грозит открытие верхних портов для шлюза" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Чем грозит открытие верхних портов для шлюза"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Чем грозит открытие верхних портов для шлюза"
Сообщение от opeth2009 (??) on 05-Фев-08, 00:04
Я хочу разрешить на шлюзе в ipfw возможность раюоты с ftp-сервером ftp-сервер я хочу поднять на том же шлюзе одно из правил должно быть такое ipfw add allow tcp from any to me keep-state Насколько это правило опасно для шлюза и как правильно поступить? Интуиция мне подсказывает что ftp сервер на шлюзе лучше не поднимать, а лучше для него выделить отдельную машину в DMZ или во внутр сети - так ли это? И еще я слышал что можно поднять ftp-proxy Например jftpgw: но документацию я на русском не нашел? Как быть? И вообще какой смысл в прокси ftp
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Чем грозит открытие верхних портов для шлюза, Sot, 01:07 , 05-Фев-08, (1)

Чем грозит открытие верхних портов для шлюза, opeth2009, 01:23 , 05-Фев-08, (2)

Чем грозит открытие верхних портов для шлюза, anonymous, 06:04 , 05-Фев-08, (3)

Чем грозит открытие верхних портов для шлюза, PavelR, 06:15 , 05-Фев-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Чем грозит открытие верхних портов для шлюза"

Сообщение от Sot on 05-Фев-08, 01:07

>Я хочу разрешить на шлюзе  в ipfw возможность раюоты с ftp-сервером
>ftp-сервер я хочу поднять на том же шлюзе
>одно из правил должно быть такое
>ipfw add allow tcp from any to me keep-state
>Насколько это правило опасно для шлюза и как правильно поступить?
Такое правило откроет полный доступ к шлюзу по TCP. Лучше так:
ipfw add allow tcp from any to me 21 keep-state
Ну и видимо добавить (если исходящие со шлюза не разрешены):
ipfw add allow tcp from me 20 to any keep-state
>Интуиция мне подсказывает что ftp сервер на шлюзе лучше не поднимать, а
>лучше для него выделить отдельную машину в DMZ или во внутр
>сети - так ли это?
В принципе интуиция права. Но если очень хочется, но страшно, то можно в сторону jail посмотреть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Чем грозит открытие верхних портов для шлюза"

Сообщение от opeth2009 (??) on 05-Фев-08, 01:23

>Такое правило откроет полный доступ к шлюзу по TCP. Лучше так:
>ipfw add allow tcp from any to me 21 keep-state
>Ну и видимо добавить (если исходящие со шлюза не разрешены):
>ipfw add allow tcp from me 20 to any keep-state
Правильно - так мы откроем возможность для активного режима
Но для пассивного необходимо разрешить подключаться из-вне на порты 1024 и выше
потому как с этим режимом работают по умолчанию браузеры
Что делать и как быть
А 20 порт давно уже не используют

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Чем грозит открытие верхних портов для шлюза"

Сообщение от anonymous (??) on 05-Фев-08, 06:04

>Правильно - так мы откроем возможность для активного режима
>Но для пассивного необходимо разрешить подключаться из-вне на порты 1024 и выше
>
>потому как с этим режимом работают по умолчанию браузеры
>Что делать и как быть
>А 20 порт давно уже не используют
1.  Выделить диапазон в допустим 500 портов: 20000-20500
2.  Настроить фтп сервер чтобы он использовал эти порты (например в proftpd это параметр PassivePorts, ещё в pureftpd знаю точно что есть.  В других, к сожалению, может и не быть -- читайте документацию)
3.  Разрешить соедиения извне на эти 500 портов.
В принципе, это не такое уж и хорошее ршение.  Но как минимум оно позволяет уменьшить диапазон открытых портов.
Лучшим решением было бы использование conntrack и RELATED соедиений как в iptables.  Но вот не знаю какие аналоги есть для FreeBSD.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Чем грозит открытие верхних портов для шлюза"

Сообщение от PavelR (??) on 05-Фев-08, 06:15

>>Я хочу разрешить на шлюзе  в ipfw возможность раюоты с ftp-сервером
>>ftp-сервер я хочу поднять на том же шлюзе
>>одно из правил должно быть такое
>>ipfw add allow tcp from any to me keep-state
>>Насколько это правило опасно для шлюза и как правильно поступить?
>
>Такое правило откроет полный доступ к шлюзу по TCP.
Чем страшно открывать полный доступ к шлюзу по ТСР (к серверу вообще и к вашему в частности) ?
Чего мы боимся ? У нас куча сервисов открыла кучу портов в верхних портах?
Мы боимся того, что некий пользователь или поломанный процесс сможет открыть такой порт и к нему будет доступ ? Чего ?
Да, в случае взлома, наверное, полегче будет открыть порт и запустить на нем шелл. Но
"поломанный процесс", вероятнее всего будет устанавливать исходящее соединение к IRC за получением команд, потому как исходящие соединения ограничивают пореже, чем входящие.

Опять же, машина, которая будет в DMZ (отдельно стоит оговорить установку FTP на внутренних адресах и полноценный DNAT FTP-протокола, та еще проблема).
К ней опять же будет отдан полный  доступ на все её порты. Это не так страшно как доступ как тем же портам, но другого сервера-шлюза?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Чем грозит открытие верхних портов для шлюза"
Сообщение от Sot on 05-Фев-08, 01:07
>Я хочу разрешить на шлюзе в ipfw возможность раюоты с ftp-сервером >ftp-сервер я хочу поднять на том же шлюзе >одно из правил должно быть такое >ipfw add allow tcp from any to me keep-state >Насколько это правило опасно для шлюза и как правильно поступить? Такое правило откроет полный доступ к шлюзу по TCP. Лучше так: ipfw add allow tcp from any to me 21 keep-state Ну и видимо добавить (если исходящие со шлюза не разрешены): ipfw add allow tcp from me 20 to any keep-state >Интуиция мне подсказывает что ftp сервер на шлюзе лучше не поднимать, а >лучше для него выделить отдельную машину в DMZ или во внутр >сети - так ли это? В принципе интуиция права. Но если очень хочется, но страшно, то можно в сторону jail посмотреть.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Чем грозит открытие верхних портов для шлюза"
	Сообщение от opeth2009 (??) on 05-Фев-08, 01:23
	>Такое правило откроет полный доступ к шлюзу по TCP. Лучше так: >ipfw add allow tcp from any to me 21 keep-state >Ну и видимо добавить (если исходящие со шлюза не разрешены): >ipfw add allow tcp from me 20 to any keep-state Правильно - так мы откроем возможность для активного режима Но для пассивного необходимо разрешить подключаться из-вне на порты 1024 и выше потому как с этим режимом работают по умолчанию браузеры Что делать и как быть А 20 порт давно уже не используют
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Чем грозит открытие верхних портов для шлюза"
	Сообщение от anonymous (??) on 05-Фев-08, 06:04
	>Правильно - так мы откроем возможность для активного режима >Но для пассивного необходимо разрешить подключаться из-вне на порты 1024 и выше > >потому как с этим режимом работают по умолчанию браузеры >Что делать и как быть >А 20 порт давно уже не используют 1. Выделить диапазон в допустим 500 портов: 20000-20500 2. Настроить фтп сервер чтобы он использовал эти порты (например в proftpd это параметр PassivePorts, ещё в pureftpd знаю точно что есть. В других, к сожалению, может и не быть -- читайте документацию) 3. Разрешить соедиения извне на эти 500 портов. В принципе, это не такое уж и хорошее ршение. Но как минимум оно позволяет уменьшить диапазон открытых портов. Лучшим решением было бы использование conntrack и RELATED соедиений как в iptables. Но вот не знаю какие аналоги есть для FreeBSD.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Чем грозит открытие верхних портов для шлюза"
	Сообщение от PavelR (??) on 05-Фев-08, 06:15
	>>Я хочу разрешить на шлюзе в ipfw возможность раюоты с ftp-сервером >>ftp-сервер я хочу поднять на том же шлюзе >>одно из правил должно быть такое >>ipfw add allow tcp from any to me keep-state >>Насколько это правило опасно для шлюза и как правильно поступить? > >Такое правило откроет полный доступ к шлюзу по TCP. Чем страшно открывать полный доступ к шлюзу по ТСР (к серверу вообще и к вашему в частности) ? Чего мы боимся ? У нас куча сервисов открыла кучу портов в верхних портах? Мы боимся того, что некий пользователь или поломанный процесс сможет открыть такой порт и к нему будет доступ ? Чего ? Да, в случае взлома, наверное, полегче будет открыть порт и запустить на нем шелл. Но "поломанный процесс", вероятнее всего будет устанавливать исходящее соединение к IRC за получением команд, потому как исходящие соединения ограничивают пореже, чем входящие. Опять же, машина, которая будет в DMZ (отдельно стоит оговорить установку FTP на внутренних адресах и полноценный DNAT FTP-протокола, та еще проблема). К ней опять же будет отдан полный доступ на все её порты. Это не так страшно как доступ как тем же портам, но другого сервера-шлюза?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]