forum.opennet.ru - "ipfw & passive ftp" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw & passive ftp"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw & passive ftp"
Сообщение от GHopper (ok) on 17-Фев-08, 12:46
Здравствуйте! FreeBSD6.0, ipfw, стандартный ftpd в пассивном режиме Хочу разрешить коннект из глобала до ftp, но не знаю как это сделать. Гугль дал много ответов, но все они заключаются в открытии диапазона портов, на которые настроен ftpd. Мне кажется, что это не самое лучшее решение. Как минимум должен быть второй вариант решения проблемы; да и для чего тогда нужны check-state и keep-state? В общем хочу проконсультироваться с вами по этому вопросу.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw & passive ftp, Kos, 13:26 , 17-Фев-08, (1)

ipfw & passive ftp, PavelR, 20:05 , 17-Фев-08, (2)

ipfw & passive ftp, GHopper, 05:10 , 18-Фев-08, (3)

ipfw & passive ftp, PavelR, 07:17 , 18-Фев-08, (4)

ipfw & passive ftp, GHopper, 08:38 , 18-Фев-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw & passive ftp"

Сообщение от Kos (??) on 17-Фев-08, 13:26

>Здравствуйте!
>FreeBSD6.0, ipfw, стандартный ftpd в пассивном режиме
>Хочу разрешить коннект из глобала до ftp, но не знаю как это
>сделать. Гугль дал много ответов, но все они заключаются в открытии
>диапазона портов, на которые настроен ftpd. Мне кажется, что это не
>самое лучшее решение. Как минимум должен быть второй вариант решения проблемы;
>да и для чего тогда нужны check-state и keep-state?
>В общем хочу проконсультироваться с вами по этому вопросу.
Вам бы почитать сначала эти ответы и подумать: "а почему собственно так?". check-state и keep-state тут непричем. Вы знаете что такое пассивный режим? Для работы фтп необходимо 2 соединения. 1-е устанавливает всегда клиент на порт сервера (стандартный 21) по нему идут команды. А по второму идут собственно данные. И вот тут есть 2 типа: активный режим - это когда второе соединения устанавливает сам сервер (что для сервера естественно лучше но не устраивает клиентов) или пассивный режим, когда оба соединения устанавливает клиент. Для того чтобы клиент мог установить ВТОРОЕ соединение и приходится открывать диапазон портов. В любом случае устанавливается НОВОЕ соединение о котором нет данных для проверки по check-state или keep-state. Надеюсь вспомнил все точно и внятно. Если нет знающие люди попровят)
P.S. Эх захотелось пописа'ть)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw & passive ftp"

Сообщение от PavelR (??) on 17-Фев-08, 20:05

>соединения устанавливает клиент. Для того чтобы клиент мог установить ВТОРОЕ соединение
>и приходится открывать диапазон портов. В любом случае устанавливается НОВОЕ соединение
>о котором нет данных для проверки по check-state или keep-state. Надеюсь
>вспомнил все точно и внятно. Если нет знающие люди попровят)
Ну по идее, если обработать данные первого соединения, то можно сформировать правила для второго соединения, только вот ipfw помоему этого не умеет. Что во фре умеет это делать, я, к сожалению, не знаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw & passive ftp"

Сообщение от GHopper (ok) on 18-Фев-08, 05:10

А если бы у меня был Linux-сервер с iptables, как там решается такая задача?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipfw & passive ftp"

Сообщение от PavelR (??) on 18-Фев-08, 07:17

>А если бы у меня был Linux-сервер с iptables, как там решается
>такая задача?
загрузкой модуля ip_conntrack_ftp (и других, подобных ему для других сервисов).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "ipfw & passive ftp"

Сообщение от GHopper (ok) on 18-Фев-08, 08:38

>>А если бы у меня был Linux-сервер с iptables, как там решается
>>такая задача?
>
>загрузкой модуля ip_conntrack_ftp (и других, подобных ему для других сервисов).
В iptables есть состояние RELATED! Думаю, его будет вполне достаточно для решения задачи.
У меня еще вопрос появился - как настроить port range для ftpd? Опять-же гугль говорит
> > net.inet.ip.porthifirst=49152
> > net.inet.ip.porthilast=65535
Я так понял это какие-то значения переменных ядра. Только я не понимаю как их задать, чтобы сделать диапазон портов как можно меньше.
Какие есть аналоги ipfw под FreeBSD, имеющие аналог RELATED из iptables?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw & passive ftp"
Сообщение от Kos (??) on 17-Фев-08, 13:26
>Здравствуйте! >FreeBSD6.0, ipfw, стандартный ftpd в пассивном режиме >Хочу разрешить коннект из глобала до ftp, но не знаю как это >сделать. Гугль дал много ответов, но все они заключаются в открытии >диапазона портов, на которые настроен ftpd. Мне кажется, что это не >самое лучшее решение. Как минимум должен быть второй вариант решения проблемы; >да и для чего тогда нужны check-state и keep-state? >В общем хочу проконсультироваться с вами по этому вопросу. Вам бы почитать сначала эти ответы и подумать: "а почему собственно так?". check-state и keep-state тут непричем. Вы знаете что такое пассивный режим? Для работы фтп необходимо 2 соединения. 1-е устанавливает всегда клиент на порт сервера (стандартный 21) по нему идут команды. А по второму идут собственно данные. И вот тут есть 2 типа: активный режим - это когда второе соединения устанавливает сам сервер (что для сервера естественно лучше но не устраивает клиентов) или пассивный режим, когда оба соединения устанавливает клиент. Для того чтобы клиент мог установить ВТОРОЕ соединение и приходится открывать диапазон портов. В любом случае устанавливается НОВОЕ соединение о котором нет данных для проверки по check-state или keep-state. Надеюсь вспомнил все точно и внятно. Если нет знающие люди попровят) P.S. Эх захотелось пописа'ть)))
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "ipfw & passive ftp"
	Сообщение от PavelR (??) on 17-Фев-08, 20:05
	>соединения устанавливает клиент. Для того чтобы клиент мог установить ВТОРОЕ соединение >и приходится открывать диапазон портов. В любом случае устанавливается НОВОЕ соединение >о котором нет данных для проверки по check-state или keep-state. Надеюсь >вспомнил все точно и внятно. Если нет знающие люди попровят) Ну по идее, если обработать данные первого соединения, то можно сформировать правила для второго соединения, только вот ipfw помоему этого не умеет. Что во фре умеет это делать, я, к сожалению, не знаю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "ipfw & passive ftp"
	Сообщение от GHopper (ok) on 18-Фев-08, 05:10
	А если бы у меня был Linux-сервер с iptables, как там решается такая задача?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "ipfw & passive ftp"
	Сообщение от PavelR (??) on 18-Фев-08, 07:17
	>А если бы у меня был Linux-сервер с iptables, как там решается >такая задача? загрузкой модуля ip_conntrack_ftp (и других, подобных ему для других сервисов).
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "ipfw & passive ftp"
	Сообщение от GHopper (ok) on 18-Фев-08, 08:38
	>>А если бы у меня был Linux-сервер с iptables, как там решается >>такая задача? > >загрузкой модуля ip_conntrack_ftp (и других, подобных ему для других сервисов). В iptables есть состояние RELATED! Думаю, его будет вполне достаточно для решения задачи. У меня еще вопрос появился - как настроить port range для ftpd? Опять-же гугль говорит > > net.inet.ip.porthifirst=49152 > > net.inet.ip.porthilast=65535 Я так понял это какие-то значения переменных ядра. Только я не понимаю как их задать, чтобы сделать диапазон портов как можно меньше. Какие есть аналоги ipfw под FreeBSD, имеющие аналог RELATED из iptables?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]