/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
FTP gennem firewall´en
Fra : Robert Vilhelmsen


Dato : 18-02-03 17:04

Hej NG

Jeg har en firewall kørende, hvor der er spærret for "aktiv" FTP indefra.
Dvs. brugere indefra skal bruge passive FTP.

Men jeg skal have lavet en regel der forbyder alt trafik ud af huset
undtagent det jeg tillader. Her kommer mit problem. Hvis jeg forbyder alt
trafik ud (undtaget TCP port 21), hvordan kan jeg så også tillade den
passive FTP data forbindelse at komme ud af huset, da denne trafik foregår
på porte over 1023?

Kræver det at firewallen understøtter dette, så den af sig selv kan åbne for
porte der tilhører en passiv FTP forbindelse?

Jeg kan vælge at filtrere trafik med SYN flag established og/eller
establishing, men jeg kan ikke rigtigt se hvordan jeg kan bruge disse i den
her situation.

Robert.



 
 
GateKeeper (18-02-2003)
Kommentar
Fra : GateKeeper


Dato : 18-02-03 17:51

Har det på samme måde. "Lås" din ftp-server til at bruge f.eks. IP range:
23454-23454 til Passive. Så har du passive mode, men kun en port til det.

- GateKeeper -

"Robert Vilhelmsen" <robert@rovi.dk> wrote in message
news:b2tlgj$n0i$1@sunsite.dk...
> Hej NG
>
> Jeg har en firewall kørende, hvor der er spærret for "aktiv" FTP indefra.
> Dvs. brugere indefra skal bruge passive FTP.
>
> Men jeg skal have lavet en regel der forbyder alt trafik ud af huset
> undtagent det jeg tillader. Her kommer mit problem. Hvis jeg forbyder alt
> trafik ud (undtaget TCP port 21), hvordan kan jeg så også tillade den
> passive FTP data forbindelse at komme ud af huset, da denne trafik foregår
> på porte over 1023?
>
> Kræver det at firewallen understøtter dette, så den af sig selv kan åbne
for
> porte der tilhører en passiv FTP forbindelse?
>
> Jeg kan vælge at filtrere trafik med SYN flag established og/eller
> establishing, men jeg kan ikke rigtigt se hvordan jeg kan bruge disse i
den
> her situation.
>
> Robert.
>
>



Allan Olesen (18-02-2003)
Kommentar
Fra : Allan Olesen


Dato : 18-02-03 19:51

"GateKeeper" <plu2@ofir.dk> wrote:

>"Lås" din ftp-server

Hvilken ftp-server?

Du må i øvrigt gerne skrive under det, du svarer på, og klippe
det væk, du ikke svarer på.

--
Allan Olesen, Lunderskov

Kasper Dupont (18-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 18-02-03 18:18

Robert Vilhelmsen wrote:
>
> Kræver det at firewallen understøtter dette, så den af sig selv kan åbne for
> porte der tilhører en passiv FTP forbindelse?

Ja, det tror jeg. Og umiddelbart vil jeg tro, at det er forskel på
at understøtte aktiv og passiv FTP i en firewall, selvom der nok kan
genbruges en del af koden.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Rasmus Bøg Hansen (18-02-2003)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 18-02-03 18:31

"Robert Vilhelmsen" <robert@rovi.dk> writes:

> Jeg har en firewall kørende, hvor der er spærret for "aktiv" FTP indefra.
> Dvs. brugere indefra skal bruge passive FTP.

> Kræver det at firewallen understøtter dette, så den af sig selv kan åbne for
> porte der tilhører en passiv FTP forbindelse?
>
> Jeg kan vælge at filtrere trafik med SYN flag established og/eller
> establishing, men jeg kan ikke rigtigt se hvordan jeg kan bruge disse i den
> her situation.

Linux's iptables kan tillade RELATED trafik ved indlæsning af
ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).

Hvis du bruger andet firewall-programmel må andre nok træde til.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
A surplus means there'll be money left over.
Otherwise, it wouldn't be called a surplus.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Kasper Dupont (18-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 18-02-03 18:40

Rasmus Bøg Hansen wrote:
>
> Linux's iptables kan tillade RELATED trafik ved indlæsning af
> ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).

Har den support for både active og passive ftp? (Jeg havde
lidt problemer sidst jeg prøvede, men det skal indrømmes,
at jeg ikke gad bruge tid på at undersøge årsagen nærmere.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Kent Friis (18-02-2003)
Kommentar
Fra : Kent Friis


Dato : 18-02-03 18:47

Den Tue, 18 Feb 2003 18:40:28 +0100 skrev Kasper Dupont:
>Rasmus Bøg Hansen wrote:
>>
>> Linux's iptables kan tillade RELATED trafik ved indlæsning af
>> ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).
>
>Har den support for både active og passive ftp? (Jeg havde
>lidt problemer sidst jeg prøvede, men det skal indrømmes,
>at jeg ikke gad bruge tid på at undersøge årsagen nærmere.)

Mig bekendt ja (jeg er kun 90% sikker).

Mvh
Kent
--
Object orientation: the idea, that humans find it easier to understand
"you.car.engine.start" than "start your car engine".

Rasmus Bøg Hansen (18-02-2003)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 18-02-03 19:21

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Rasmus Bøg Hansen wrote:
>>
>> Linux's iptables kan tillade RELATED trafik ved indlæsning af
>> ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).
>
> Har den support for både active og passive ftp? (Jeg havde
> lidt problemer sidst jeg prøvede, men det skal indrømmes,
> at jeg ikke gad bruge tid på at undersøge årsagen nærmere.)

Begge dele fungerer fint, ja.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp --dport 21 --syn -j ACCEPT

Hvis ftp-serveren kører på samme maskine som firewallen skal du lave
samme nummer med INPUT og OUTPUT. Følgende to klarer selve
håndteringen af ftp-forbindelser.

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

Derudover findes der en masse dokumentation af iptables på
bl. a. www.iptables.org.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Military Justice is to Justice, what Military Music is to Music.
-- Groucho Marx
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Robert Vilhelmsen (18-02-2003)
Kommentar
Fra : Robert Vilhelmsen


Dato : 18-02-03 20:00

Tak for svarene. Umiddelbart tror jeg ikke min firewall understøtter
"automatisk" passiv FTP, så jeg må nok ty til andre produkter. Er der nogle
der kan anbefales?

Helst ikke Linux, - gerne en hardware box.

Robert.



Kasper Dupont (19-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 19-02-03 10:27

Robert Vilhelmsen wrote:
>
> Helst ikke Linux, - gerne en hardware box.

En billig PC med to netkort og Linux er da også en slags
hardware box. Jeg vil ikke prøve på at kaste mig ud i en
sammenligning af pris og kvalitet. Det kan måske nok være
lidt svært at finde en PC, der er 100% lydløs.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Robert Vilhelmsen (19-02-2003)
Kommentar
Fra : Robert Vilhelmsen


Dato : 19-02-03 11:08


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3E534DD6.CCF81DA@daimi.au.dk...
> Robert Vilhelmsen wrote:

> En billig PC med to netkort og Linux er da også en slags
> hardware box. Jeg vil ikke prøve på at kaste mig ud i en
> sammenligning af pris og kvalitet. Det kan måske nok være
> lidt svært at finde en PC, der er 100% lydløs.

Det var nu ikke så meget plads/støj jeg tænkte på, men derimod at jeg ikke
kan Linux OS på rygraden.

Derfor en lukket boks (watchguard/Cisco/Zyxel). De er nemmere at komme i
gang med.

Men tak for svaret.

Robert



Kent Friis (19-02-2003)
Kommentar
Fra : Kent Friis


Dato : 19-02-03 18:54

Den Wed, 19 Feb 2003 11:07:56 +0100 skrev Robert Vilhelmsen:
>
>"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
>news:3E534DD6.CCF81DA@daimi.au.dk...
>> Robert Vilhelmsen wrote:
>
>> En billig PC med to netkort og Linux er da også en slags
>> hardware box. Jeg vil ikke prøve på at kaste mig ud i en
>> sammenligning af pris og kvalitet. Det kan måske nok være
>> lidt svært at finde en PC, der er 100% lydløs.
>
>Det var nu ikke så meget plads/støj jeg tænkte på, men derimod at jeg ikke
>kan Linux OS på rygraden.

Kan du OS'et på en PIX på rygraden?

Kan du OS'et på en watchguard på rygraden? (Linux eller FreeBSD, så
vidt jeg husker fra den gang vi kiggede på dem).

Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox

Robert Vilhelmsen (19-02-2003)
Kommentar
Fra : Robert Vilhelmsen


Dato : 19-02-03 19:15


"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b30gc5$mgk$5@sunsite.dk...
> Den Wed, 19 Feb 2003 11:07:56 +0100 skrev Robert Vilhelmsen:
>
> Kan du OS'et på en PIX på rygraden?
>
> Kan du OS'et på en watchguard på rygraden? (Linux eller FreeBSD, så
> vidt jeg husker fra den gang vi kiggede på dem).
>

Nej selvfølgelig kan jeg ikke det, men forstå mig korrekt. Min personlige
mening er, at hjælpen til PIX/watchguard
er bedre/nemmere at forstå end Linux. Ikke at de bliver bedre produkter af
denne grund.

Og jeg tror du har mht. linux på watchguard.

Min udfordring er at finde en firewall som er sikkerhedsmæssing i top, men
stadig til at "gå til" uden at skulle bruge måneder
på at lære OS?et at kende.

Robert.



Kent Friis (19-02-2003)
Kommentar
Fra : Kent Friis


Dato : 19-02-03 19:24

Den Wed, 19 Feb 2003 19:15:05 +0100 skrev Robert Vilhelmsen:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:b30gc5$mgk$5@sunsite.dk...
>> Den Wed, 19 Feb 2003 11:07:56 +0100 skrev Robert Vilhelmsen:
>>
>> Kan du OS'et på en PIX på rygraden?
>>
>> Kan du OS'et på en watchguard på rygraden? (Linux eller FreeBSD, så
>> vidt jeg husker fra den gang vi kiggede på dem).
>>
>
>Nej selvfølgelig kan jeg ikke det, men forstå mig korrekt. Min personlige
>mening er, at hjælpen til PIX/watchguard
>er bedre/nemmere at forstå end Linux. Ikke at de bliver bedre produkter af
>denne grund.

Selv vores Cisco-mand nede på arbejdet har problemer med at fatte
PIX'erne til tider. Det er ikke mange positive ting jeg hører om dem.

>Og jeg tror du har mht. linux på watchguard.
>
>Min udfordring er at finde en firewall som er sikkerhedsmæssing i top, men
>stadig til at "gå til" uden at skulle bruge måneder
>på at lære OS?et at kende.

Så vidt jeg husker findes der linux-distributioner der er målrettede
som firewall, så du slipper for alt det udenoms. Måske det var noget?

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

Robert Vilhelmsen (19-02-2003)
Kommentar
Fra : Robert Vilhelmsen


Dato : 19-02-03 19:29


"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b30i4c$cpm$1@sunsite.dk...
> Den Wed, 19 Feb 2003 19:15:05 +0100 skrev Robert Vilhelmsen:
> >
> Så vidt jeg husker findes der linux-distributioner der er målrettede
> som firewall, så du slipper for alt det udenoms. Måske det var noget?
>
Jeg ved at Linux kan yde mindst lige så godt som "kendte" mærkevare derfor
har jeg også været interesseret i samme, men har umiddelbart ikke rigtigt
fået gjort noget ved det. Det er svært at begynde på noget nyt.

Er der nogle af distributionerne du kan anbefale ?

Robert.



Kent Friis (19-02-2003)
Kommentar
Fra : Kent Friis


Dato : 19-02-03 19:55

Den Wed, 19 Feb 2003 19:29:09 +0100 skrev Robert Vilhelmsen:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:b30i4c$cpm$1@sunsite.dk...
>> Den Wed, 19 Feb 2003 19:15:05 +0100 skrev Robert Vilhelmsen:
>> >
>> Så vidt jeg husker findes der linux-distributioner der er målrettede
>> som firewall, så du slipper for alt det udenoms. Måske det var noget?
>>
>Jeg ved at Linux kan yde mindst lige så godt som "kendte" mærkevare derfor
>har jeg også været interesseret i samme, men har umiddelbart ikke rigtigt
>fået gjort noget ved det. Det er svært at begynde på noget nyt.
>
>Er der nogle af distributionerne du kan anbefale ?

Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
holdt mig til de mere nørdede

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

Robert Vilhelmsen (19-02-2003)
Kommentar
Fra : Robert Vilhelmsen


Dato : 19-02-03 20:20


"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b30ju0$kje$1@sunsite.dk...
> Den Wed, 19 Feb 2003 19:29:09 +0100 skrev Robert Vilhelmsen:

> Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
> holdt mig til de mere nørdede
>

Jeg ser mig omkring. Tak for svaret.

Robert



Morten Wulff (19-02-2003)
Kommentar
Fra : Morten Wulff


Dato : 19-02-03 20:43

On Wed, 19 Feb 2003 18:54:56 +0000 (UTC), Kent Friis <leeloo@phreaker.net>
wrote:
>> Jeg ved at Linux kan yde mindst lige så godt som "kendte" mærkevare
>> derfor
>> har jeg også været interesseret i samme, men har umiddelbart ikke
>> rigtigt
>> fået gjort noget ved det. Det er svært at begynde på noget nyt.
>>
>> Er der nogle af distributionerne du kan anbefale ?

Du kan prøve at kigge på følgende:

http://www.zelow.no/floppyfw/

(http://www.linuxrouter.org/ er også et bud, men jeg ved ikke om den bliver
vedligeholdt)


/wulff

--
Self Injury Information and Support: www.psyke.org

Jan Bøgh (21-02-2003)
Kommentar
Fra : Jan Bøgh


Dato : 21-02-03 11:34

"Kent Friis" <leeloo@phreaker.net> wrote in message
news:b30ju0$kje$1@sunsite.dk...

> Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
> holdt mig til de mere nørdede

www.smoothwall.org
elle prøv at google 'IPcop download'.

hilsen
Jan



Jan Bøgh (21-02-2003)
Kommentar
Fra : Jan Bøgh


Dato : 21-02-03 11:34

"Kent Friis" <leeloo@phreaker.net> wrote in message
news:b30ju0$kje$1@sunsite.dk...

> Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
> holdt mig til de mere nørdede

www.smoothwall.org
elle prøv at google 'IPcop download'.

hilsen
Jan



Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408803
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste