Firewall und FTP

From: Peter Ross <petros(at)pps.de>
Date: Sat, 16 Dec 2000 20:39:19 +0100 (MET)



Hallo,



ich habe versucht, ankommenden FTP-Verkehr zu einem dedizierten FTP-Server im 


internen Netz umzuleiten. Kann jemand das empfehlen?



Ich versuchte folgendes:



natd_flags="-redirect_port tcp ${ftp_ip}:ftp ftp"



# Allow incoming FTP connections to the internal FTP server


ipfw add allow tcp from any to ${extern_ip} ftp setup via ${extern_if}


ipfw add allow tcp from any to ${intern_ftp_ip} ftp setup via ${extern_if}


ipfw add allow tcp from any to ${intern_ftp_ip} ftp setup via ${intern_if}



# and outgoing FTP data connections created by the internal FTP server


ipfw add allow tcp from ${intern_ftp_ip} 20 to any setup via ${intern_if}


ipfw add allow tcp from ${intern_ftp_ip} 20 to any setup via ${extern_if}


ipfw add allow tcp from ${extern_ip}     20 to any setup via ${extern_if}



Das Problem sind Clients, die im Passivmode arbeiten, wozu dann der Server auf 


49152..65535 lauscht. Derzitiger Gedanke dafuer :



ftp_passive_range="49152-65535"



natd_flags="-redirect_port tcp ${ftp_ip}:${ftp_passive_range} 


${ftp_passive_range}"



und 



ipfw add allow tcp from any to ${extern_ip} ${ftp_passive_range} setup via 


${extern_if}


ipfw add allow tcp from any to ${intern_ftp_ip} {ftp_passive_range} setup via 


${extern_if}


ipfw add allow tcp from any to ${intern_ftp_ip} {ftp_passive_range} setup via 


${intern_if}



Dieses ist aber nicht besonders schoen, auf keinen Fall richtig sicher.



Geht es besser oder sollte ich den Gedanken ganz begraben? Kann der Firewall 


irgendwie die Control-Verbindung "mitlesen" (da steht ja dann die 


Daten-Port-Verhandlung drin) und dementsprechend dynamisch eine Verbindung 


zulassen? Ich weiss, dass sich einiges beim Firewalling getan hat, kann aber 


momentan die Moeglichkeit nicht erkennen.



Wie arbeitet Ihr mit dem FTP-Server fuer die Aussenwelt? Ich muss dazu sagen, 


dass wir Daten sowohl empfangen als auch zum Abholen hinlegen und irgendwelche 


Mirror-Skript von innen nach aussen nur akzeptabel waeren, wenn die Daten nicht 


laenger als ein paar Minuten (max. 5) irgendwo in Zwischenlagern schmoren.



NFS durch den Firewall ist auch nicht so toll, fuer einen FTP-Server auf einem 


Firewall und per NFS gemountete Verzeichnisse kann ich mich auch nicht richtig 


begeistern.



Es gruesst


Peter Ross



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Sat 16 Dec 2000 - 20:41:51 CET













search this site