On 2000-07-06 09:24 +0200, J Wunsch <j(at)uriah.heep.sax.de> wrote:
> > Ja, die Stolperfalle ist gemein. Könnte man das Problem nicht mit den
> > dynamischen Rulesets von ipfw lindern?
>
> Weiß nicht, zumindest waren solche Dinge der Grund, warum wir uns
> einen eigenen Dämon dafür geschrieben haben, der den primären Kanal
> überwacht.
Ich habe zwar bisher auch den IPFW eingesetzt, aber gerade die FTP-Problematik
läßt sich wohl besser mit dem IPF (Darren Reed's ipfilter) angehen. Das habe
ich zwar selber noch nicht ausprobiert, aber es ist in
/usr/src/contrib/ipfilter/rules/ftp-proxy
beschrieben und setzt auf NAT auf:
-> map vx0 10.1.1.1/32 -> 203.45.67.91/32 proxy port ftp ftp/tcp
(für FTP nur von einem Host auf einen anderen)
-> map ed0 0/0 -> 192.1.1.1/32 proxy port ftp ftp/tcp
(externer Zugriff auf einen FTP-Server im eigenen LAN)
Laut Kommentar in der o.a. Datei ist es auch möglich, NAT hierbei *ohne*
Adress-Übersetzung einzusetzen, wenn man nur das dynamische Öffnen der
Daten-Verbindung durch Auswerten der auf der Control-Verbindung übertragenen
Port-Nummer als Ziel hat ...
Gruß, STefan
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 08 Jul 2000 - 09:11:28 CEST