Re: passive ftpd hinter ipfw

On Sat, Oct 26, 2002 at 08:55:19PM +0200, Uwe Appelt wrote:
> mahlzeit,
>
> ich hab freebsd 4.6 und ftpd laufen und folgendes fw-ruleset
>
> 00050 allow tcp from any to any 20 via tun0
> 00051 allow tcp from any to any 21 via tun0
> 00100 allow ip from any to any via xl0
> 00200 allow ip from any to any via lo0
> 00300 deny ip from any to 127.0.0.0/8
> 00400 deny ip from 127.0.0.0/8 to any
> 00500 deny ip from any to 192.168.1.0/24 in recv tun0
> 00600 deny ip from 192.168.1.0/24 to any in recv tun0
> 00700 divert 8668 ip from any to any via tun0
> 00800 allow ip from any to 192.168.1.0/24
> 00900 allow tcp from any to any established
> 01000 allow tcp from any to any out xmit tun0 setup
> 01100 allow udp from me to any keep-state
> 01200 allow icmp from any to any
> 65000 deny log ip from any to any
> 65535 deny ip from any to any
>
> schüssel läuft als tdsl router xl0 = inside, tun0=outside
>
> ich will/würder gern:
> ftpd hinter der firewall im passive mode betreiben,
> welche regeln müsste ich dazu ändern/hinzufügen ?

Du musst reinkommende Verbindungen von *überall* auf *jeden* Port
erlauben, den der ftpd für den Datenkanal benutzt.
ftpd bedient sich hierbei den Standart Port Pool, den du per sysctl
verändern kannst.
net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.last: 65535
Du solltest dir allerdings darüber im klaren sein, das auch andere
Programme den Pool benuzten, z.B. für rausgehende Verbindungen.

> die regeln 50 und 51 hab ich grad eingefügt, geht aber trotzdem nicht;
> ich kann mich connecten aber "ls" geht nimmer

Das wäre für active ftp richtig.

Als Alternative bietet sich extenteded passive an, der keine extra
Verbindung aufmacht, jedoch können das die wenigsten ftp Clients.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message