Re: Firewall und FTP

Das ist zwar 'ne uralte Mail hier, aber da es keine Antworten gab,
schreibe ich mal noch ein Followup.

As Peter Ross wrote:

> ich habe versucht, ankommenden FTP-Verkehr zu einem dedizierten
> FTP-Server im internen Netz umzuleiten. Kann jemand das empfehlen?

Ich würde ihn lieber im nicht geNATeten Servernetz plazieren, ggf.
einen Proxy. (DeleGate? Ist als von buffer overflows übersät
verrufen, aber ich glaube, die laufen jetzt zumindest chroot'ed.)

> Das Problem sind Clients, die im Passivmode arbeiten, wozu dann der
> Server auf 49152..65535 lauscht.

Für die habe ich auch keine Idee.

> Geht es besser oder sollte ich den Gedanken ganz begraben? Kann der
> Firewall irgendwie die Control-Verbindung "mitlesen" (da steht ja
> dann die Daten-Port-Verhandlung drin) und dementsprechend dynamisch
> eine Verbindung zulassen?

Natd muß sie ohnehin mitlesen (da er ja die Portnummer/IP-Adresse in
einem PORT Kommando oder einer Entering passive mode Antwort ggf.
umschreiben muß). Er hat mittlerweile eine Option -punch_fw, mit der
er in diesem Falle auch einen Eintrag in den Firewallregeln für die
data connection machen kann, aber IMHO funktioniert das nur mit active
mode.

-- 
cheers, J"org               .-.-.   --... ...--   -.. .  DL8DTL
http://www.sax.de/~joerg/                        NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message