Para ter um ftp server p�blico e aceitar modo passivo preciso aceitar sync de conex�es
(syn=1) na porta
21/TCP e todas acima de 1024/TCP com destino ao Ip do FTP server atrav�s do firewall
(deixa a m�quina bastante vulner�vel).
Existe algum filtro de aplica��o itegrado com o netfilter/iptables que autorize
dinamicamente as portas (INBOUND) destinadas a um FTP Server usando modo passivo numa
DMZ (fa�a statefull para Inbound).
ex.
1. Allow ANY 21 TCP (cliente conecta, estabelece um socket e cria canal de controle
FTP)
2. Cliente solicita modo passivo + download de arquivo 1.zip
a) no canal de controle � negociada a porta 1025 no FTP server, o qual coloca a
mesma em listen
b) o filtro deve interagir com o iptables/netfilter e aceitar dinamicamente
INBOUND/syn=1 para esta
porta (1025) somente originado do cliente que foi negociado via canal de
controle na porta 21.
O "ip_nat_ftp" faz isso quando um cliente connecta (outbound) num ftp server no modo
PORT e baixa um arquivo, ou seja, faz o NAT da conexao outbound dest 21 TCP e libera
inbound via iptables do socket correspondente a resposta do servidor FTP
(IP_doservidor_FTP source_port 20 TCP syn=yes)
Morvan.
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
