Hello rlug,
Scriam zileletrecute un mesaj pe lista facind referire la porturile
neprivilegiate si regulile firewall pentru un client ftp in mod passive.
Spuneam atunci ca "Daca $range_port este 1025:65536 sunt sigur ca nu voi rata
nici un ftp dar port range-ul este prea mare. Daca micsorez range-ul, nu mai
pot conta pe unele servere de ftp din cauza ca nu exista un standard de
configurare al port_range-ului pentru passive connections." Mai spuean ca am
recurs la o varianta de compromis folosind un proxy si renuntin renuntind la
a mai deschide -s $UNPRIV -d $UNPRIV in firewall.
Adica prefer o regula de genul:
$IPTABLES -A out_$EXTDEV -p tcp -s $IP_EXTDEV --sport 1024: --dport 3128
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A in_$EXTDEV -p tcp ! --syn -d $IP_EXTDEV --sport 3128 --dport
1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
si configurez clientii ftp manual sa treaca printr-un proxy, decit sa pun o
regula de genul:
$IPTABLES -A out_$EXTDEV -p tcp -s $IP_EXTDEV --sport 1024: --dport 1024:
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A in_$EXTDEV -p tcp ! --syn --sport 1024: -d $IP_EXTDEV --dport
1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
care permite accesul ftp passive direct, fara proxy.
Cea din urma, nu o prefer din cauza faptului ca ACTIVEAZA INDIRECT SI ALTE
SERVICII CLIENT CARE RULEAZA PE MASINA IN CAUZA, LUCRU CARE ESTE DE
NEACEPTAT. Asta era problema care o aveam si a ramas in continuare.
Din cite am mai disctuat si am mai citi pe net, am inteles ca exista (pe
freebsd-ipfw), posibilitatea de a folosi diverse mecanisme cu care poti crea
reguli DINAMICE, care sa se aplice pentru anumite servicii (ftp sau irc)
("firewall punch hole").
Stie cineva cum s-ar face asa ceva pe linux.
Alex
---
Detalii despre listele noastre de mail: http://www.lug.ro/
