Re: ipfw Beispiele

From: Martin Heinen <mheinen0(at)wiesbaden-online.de>
Date: Sat, 20 Oct 2001 18:16:25 +0200

On Sat, Oct 20, 2001 at 02:34:29PM +0200, Thibault Bautze wrote:

> > FTP verwendet schon mal die Ports 21 und 20 (Datenleitung).
> > Dann gibt es, wie schon angedeutet, active und passive Mode.
> > Aus Sicherheitsgründen willst Du nur den active Mode zulassen.
> > Wenn du wirklich paranoid bist, willst Du auch gar kein FTP
> > haben, sondern eventuell auf ssh/scp ausweichen. Die Information,
> > die noch fehlt ist die Richtung: raus oder rein, willst Du
> > FTP/ssh nach draußen oder auch von draußen erlauben?
>
> Ich will einen ssh und ftp Server, so das ich von überall auf die Dateien
> Zugriff und allgemeine
> Kontrolle über das System habe.
>
> > Ping ist etwas anderes als FTP oder ssh, das heißt eigentlich willst
> > Du doch mehr. Du willst wahrscheinlich auch Zugriff auf den DNS
> > Deines Providers haben, damit Du auch Namen verwenden kannst.
>
> Das sowieso, immerhin sollen die Clients freien Zugriff auf alle
> Internetdienste haben.

Die Clients hinter Deinem Router also die im internen Netz
sollten mit der letzten Konfig schon alles können, was mit
TCP zu tun hat.

> > Gehen wir mal davon aus, daß Du die Dienste FTP und ssh nur
> > nach draußen anbieten willst, also keinen FTP-Server oder Login-Server
> > aufsetzen willst.
>
> Tja, wie gesagt, ich *will* einen ftp und login Server aufsetzen.

Dann mußt Du nur zwischen den mit (2) und (3) markierten Regeln
aus dem Beispiel das entsprechende erlauben. Für ein paar
Dienste ist das im 'simple' Beispiel gezeigt.

Für ssh fügst Du folgende Regel zwischen (2) und (3) ein:

| ${fwcmd} add pass tcp from any to ${oip} 22 setup

Regel (2) erlaubt ja schon bestehende Verbindungen und mit dieser
Regel ermöglichst Du das Aufsetzen einer ssh Verbindung von außen.

Active-Mode-FTP erlaubst Du, indem Du noch den Port 21 aufmachst:

| ${fwcmd} add pass tcp from any to ${oip} 21 setup
 
Viele Firewall-Admins mögen allerdings den Active-Mode nicht, da
Dein Server dann auf Port 20 eine Verbindung zu den Clients
aufmacht und sie daher ein Loch in ihre Firewall machen müßten.

Wenn Du passive Mode erlauben willst, dann bekommst Du Schwierigkeiten.
In diesem Fall wird der Client eine Verbindung zu Deinem Server
aufmachen wollen. Der Quellport und der Zielport werden >1023 sein,
d.h. dazu mußt Du folgende Verbindungen erlauben:

| # mach es lieber nicht
| ${fwcmd} add pass tcp from any 1024- to ${oip} 1024- setup

Jetzt erlaubst Du _beliebige_ Verbindungen, die von außen mit hohen
Ports nach drinnen auf hohe Ports gehen. Das willst Du definitiv
nicht! Vielleicht kriegt man das irgendwie mit einem Proxy hin,
aber das ist viel Arbeit, scp ist da viel sicherer und einfacher.

Zusätzlich sollte die Sicherheit der Kiste durch hosts_access(5)
abegrundet werden. Wenn Du wirklich FTP aufsetzen aufsetzen
willst, empfiehlt sich auch ein Studium der Manual Pages des
entsprechenden Servers.

Gruß
Martin

-- 
Marxpitn
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 20 Oct 2001 - 18:16:31 CEST

search this site