Hi,
> | # mach es lieber nicht
> | ${fwcmd} add pass tcp from any 1024- to ${oip} 1024- setup
Das geht, wenn die Maschine nur FTP-Server und SSH-Server ist. Dann lauscht
auf dem Portbereich fuer den FTP-Server nichts anderes.
Der Portbereich ist auch eingeschraenkt, aber abhaengig vom FTP-Server.
Beispiel der Standard-ftpd von FreeBSD, ftpd(8)
> Now, by default, the server will use data ports in the range 49152..65535.
Also:
${fwcmd} add pass tcp from any 1024-65535 to ${oip} 49152-65535 setup
Ich habe auch einen FTP-Server zu laufen, arbeite da mit Firewall und
"nachgeschaltetem" FTP-Server, der via natd den entsprechenden Portbereich
erhaelt.
ftp_umleitung="-redirect_port tcp ${ftp_ip}:ftp ftp"
ftp_umleitung="${ftp_umleitung} -redirect_port tcp ${ftp_ip}:20 20"
ftp_passive_umleitung="-redirect_port tcp \
${ftp_ip}:${ftp_passive_range} ${ftp_passive_range}"
ftp_umleitung="${ftp_umleitung} ${ftp_passive_umleitung}"
natd_flags="ftp_umleitung"
wobei ftp_ip die Adresse des FTP-Servers in der DMZ ist.
Zusaetzlich darf man uebrigens noch mit Secure Flags (siehe chflags(1)) und
Read-Only-Mounts von /usr sowie No-Exec-Mount von /var die
Manipulationsmoeglichkeiten des evt. via fehlerbehaftetem FTP-Server doch
erfolgreich Eingebrochenen erheblich einschraenken.
Gruss Peter
-------------------------------------------------------------------------
Wenn Du nicht weisst, was Du tust, tue es mit Eleganz.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 20 Oct 2001 - 19:45:26 CEST