pristup na ftp-cko via IPFW
Dan Lukes
dan at obluda.cz
Mon May 30 11:54:50 CEST 2005
Michal Kapalka wrote:
> ipfw -q add 1300 pass log tcp from any to any 21 setup keep-state
> ipfw -q add 1350 pass tcp from any 20 to any 1024-65535 keep-state
>
> V com je problem ja ked idem s intranetu cez natko na tento vonkajsi
> server v pohode sa na neho pripojim a mozem robit co potrebujem ci uz ls
> a ine komandy
> Ale externy clienti sa konektnu ale neukaze im ani len adresare cize pwd
> command spravi ale ls nie.
Nezapomel jste, ze FTP ma dva rezimy datovych prenosu - aktivni a
pasivni ? A ruzni klienti v ruznych nastavenich pouzivaji ten ci onen ?
> Je ta definicia FW co som napisal zla ???? Ja si myslim ze je to ok.
Podle me je spatna. To druhe pravidlo umoznuje komukoliv na svete
otevirat spojeni na takrka vsechny porty - staci, kdyz jako zdrojovy
port zvoli dvacitku (a tu zkusi kazdy druhy, protoze kazdy prvni ma
firewall postaveny prave takhle). No, pak je ovsem otazka, co vlastne
chranime a proc. Ze dvou pravidel lze samozrejme jen tezko vyhodnotit
smysl a kvalitu celeho firewallu, ale muj pocit je, ze tohle je
"managersky firewall". Proste sef si pral firewall, protoze slysel, ze
to se musi, tak tam holt nejaky dostal. Co se chrani a proc (a zda to
timto firewallem skutecne je ochranene) - to se neresilo, protoze to
nikdo nepozadoval ...
Dan
More information about the Users-l
mailing list