|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : mitrohin a.s. 2:5020/400 14 Apr 2003 11:33:45
To : "Sergey Goryachev"
Subject : Re: active FTP через ipfw
--------------------------------------------------------------------------------
Sergey Goryachev <goryatchev.sergey@rama.menatepspb.com> wrote:
>> AVI>> Даже если так можно сделать все
>> AVI>> pавно, хотелось бы узнать как пpавильно наpисовать пpавила ipfw для
>> AVI>> пpохождения active-ftp, чтобы они динамически генеpиpовались пpи
>> AVI>> надобности.
>>
>> И все таки, как ?
SG> например, есть опция punch_fw у natd(8)
хорошая опция... хоро-o-oшая...
если я правильно понимаю то исходящий трафик на 21 порт надо завернуть в
natd - и он заглянет в сессию и увидит что какими-то каманды ftp peers
договорятся о параметрах канала данных (пардон за кривость - просто не
в курсях какие это команды и как ими пользуется ftp) и - вах-вах -
вдолбит ipfw rule по указанному диапазону правил ;))) ... и вроде по
коментариям в HISTORY даже active/passive понимаются....
черт возьми - надо попробовать... ;)))))
SG> только мне кажется, что ты путаешь active/passive ftp
SG> ------------
SG> # NAT
SG> add divert natd ip from any to any via ${oif}
SG> ....
SG> # check state
SG> add check-state
SG> # Allow established (TCP ACK) through if setup is succsseded
SG> add pass tcp from any to any established via ${oif}
SG> ....
SG> # active ftp
SG> add pass tcp from any to any 21 out via ${oif} setup
SG> add pass tcp from any 20 to any in via ${oif} keep-state
круто ;))
враг привязывает свою сторону к 20 порту и вперед через firewall
/swp
--- ifmail v.2.15dev4
* Origin: BSPU InterNetNews site (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: active FTP через ipfw |
mitrohin a.s. |
14 Apr 2003 11:33:45 |
|
|
