|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vasily Korytov 2:5020/400 04 Sep 2004 22:18:53
To : "Anton V. Yuzhaninov"
Subject : Re: ipfiler + ftp server
--------------------------------------------------------------------------------
On Sat, 4 Sep 2004 17:35:41 +0000 (UTC), Anton V. Yuzhaninov wrote:
> You wrote to "Anton V. Yuzhaninov" <citrin@icn.bmstu.ru> on Sat, 4 Sep 2004
> 17:18:56 +0000 (UTC):
>
> VK> Если ты не видет IP Filter Based Firewalls HOWTO by Brendan Conoboy and
> VK> Erik Fichtner, сочувствую. Очень толковая дока, на нее ведет куча
> VK> ссылок. Hайди и прочитай.
>
> Дока очень толковая, её и читаю, но там рекомендуют использовать правила типа
> pass in quick on xl0 proto tcp from any to 192.168.1.120/32 port = 21
> flags S keep state
> pass in quick on xl0 proto tcp from any to 192.168.1.120/32 port 49151
> >< 65535 flags S keep state
>
> т. е. открыть все 16384 портов, которые может использовать ftpd
Hевнимательно читаешь. Для active ftp там советуют следующее:
pass in quick proto tcp from any to 20.20.20.20/32 port = 21 flags S keep state
pass out proto tcp all keep state
^^^
Обрати внимание на подчеркнутое. Это раз. Трафик на 20 порту -- исходящий.
> Я просто думал что есть возможность создавать только одно динамическое
> правило на основе того, какой номер порта указывается в ответ на
> команду PASV
>
> А так если это хостинг, например, запустит кто нибуть из юзеров демон
> на непривилигированом порту (из диапазона 49151-65535 ) и я это
> зафильтровать не смогу.
Ага, теперь ясно, что сложность у тебя не с active FTP, как я думал
(именно с ним, как правило, и случаются основные косяки), а с passive
FTP! Тогда действительно надо прямо указывать порты, на которые приходит
коннект -- AFAIK, без этого никак.
Hо во-первых, можно просто запретить passive ftp. А клиенты, которые
из-за своего firewall испытывают с ним сложности, пусть анонимно качают
по http, а с логином -- по ssh. В случае хостинга переход на ssh вместо
ftp может быть вполне оправдан, кстати.
Во-вторых, можно перейти на ipfw, он IIRC знает про то, что соединения
принадлежат какому-то юзеру.
Я не знаю, что у тебя за ``штатный ftpd'', у меня рядом из эхотага есть
NetBSD 1.6, буду смотреть туда. Там в ftp.conf есть команда portrange. В
принципе, в-третьих, можно раз в часа три мониторить по крону на предмет
этих самых юзерских демонов на портах из этого диапазона. Hо это больно
некузяво.
HTH.
--
I accept RFC3156 and RFC2440-compatible encrypted mail.
PGP key fingerprint: 3273 7F6F 7B87 5DD5 9848 05FB E442 86BC 2E6B 6831
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: ipfiler + ftp server 
