|
| FTP gennem firewall´en Fra : Robert Vilhelmsen |
Dato : 18-02-03 17:04 |
|
Hej NG
Jeg har en firewall kørende, hvor der er spærret for "aktiv" FTP indefra.
Dvs. brugere indefra skal bruge passive FTP.
Men jeg skal have lavet en regel der forbyder alt trafik ud af huset
undtagent det jeg tillader. Her kommer mit problem. Hvis jeg forbyder alt
trafik ud (undtaget TCP port 21), hvordan kan jeg så også tillade den
passive FTP data forbindelse at komme ud af huset, da denne trafik foregår
på porte over 1023?
Kræver det at firewallen understøtter dette, så den af sig selv kan åbne for
porte der tilhører en passiv FTP forbindelse?
Jeg kan vælge at filtrere trafik med SYN flag established og/eller
establishing, men jeg kan ikke rigtigt se hvordan jeg kan bruge disse i den
her situation.
Robert.
| |
GateKeeper (18-02-2003)
| Kommentar Fra : GateKeeper |
Dato : 18-02-03 17:51 |
|
Har det på samme måde. "Lås" din ftp-server til at bruge f.eks. IP range:
23454-23454 til Passive. Så har du passive mode, men kun en port til det.
- GateKeeper -
"Robert Vilhelmsen" <robert@rovi.dk> wrote in message
news:b2tlgj$n0i$1@sunsite.dk...
> Hej NG
>
> Jeg har en firewall kørende, hvor der er spærret for "aktiv" FTP indefra.
> Dvs. brugere indefra skal bruge passive FTP.
>
> Men jeg skal have lavet en regel der forbyder alt trafik ud af huset
> undtagent det jeg tillader. Her kommer mit problem. Hvis jeg forbyder alt
> trafik ud (undtaget TCP port 21), hvordan kan jeg så også tillade den
> passive FTP data forbindelse at komme ud af huset, da denne trafik foregår
> på porte over 1023?
>
> Kræver det at firewallen understøtter dette, så den af sig selv kan åbne
for
> porte der tilhører en passiv FTP forbindelse?
>
> Jeg kan vælge at filtrere trafik med SYN flag established og/eller
> establishing, men jeg kan ikke rigtigt se hvordan jeg kan bruge disse i
den
> her situation.
>
> Robert.
>
>
| |
Allan Olesen (18-02-2003)
| Kommentar Fra : Allan Olesen |
Dato : 18-02-03 19:51 |
|
"GateKeeper" <plu2@ofir.dk> wrote:
>"Lås" din ftp-server
Hvilken ftp-server?
Du må i øvrigt gerne skrive under det, du svarer på, og klippe
det væk, du ikke svarer på.
--
Allan Olesen, Lunderskov
| |
Kasper Dupont (18-02-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 18-02-03 18:18 |
|
Robert Vilhelmsen wrote:
>
> Kræver det at firewallen understøtter dette, så den af sig selv kan åbne for
> porte der tilhører en passiv FTP forbindelse?
Ja, det tror jeg. Og umiddelbart vil jeg tro, at det er forskel på
at understøtte aktiv og passiv FTP i en firewall, selvom der nok kan
genbruges en del af koden.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Rasmus Bøg Hansen (18-02-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 18-02-03 18:31 |
|
"Robert Vilhelmsen" <robert@rovi.dk> writes:
> Jeg har en firewall kørende, hvor der er spærret for "aktiv" FTP indefra.
> Dvs. brugere indefra skal bruge passive FTP.
> Kræver det at firewallen understøtter dette, så den af sig selv kan åbne for
> porte der tilhører en passiv FTP forbindelse?
>
> Jeg kan vælge at filtrere trafik med SYN flag established og/eller
> establishing, men jeg kan ikke rigtigt se hvordan jeg kan bruge disse i den
> her situation.
Linux's iptables kan tillade RELATED trafik ved indlæsning af
ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).
Hvis du bruger andet firewall-programmel må andre nok træde til.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
A surplus means there'll be money left over.
Otherwise, it wouldn't be called a surplus.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Kasper Dupont (18-02-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 18-02-03 18:40 |
|
Rasmus Bøg Hansen wrote:
>
> Linux's iptables kan tillade RELATED trafik ved indlæsning af
> ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).
Har den support for både active og passive ftp? (Jeg havde
lidt problemer sidst jeg prøvede, men det skal indrømmes,
at jeg ikke gad bruge tid på at undersøge årsagen nærmere.)
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Kent Friis (18-02-2003)
| Kommentar Fra : Kent Friis |
Dato : 18-02-03 18:47 |
|
Den Tue, 18 Feb 2003 18:40:28 +0100 skrev Kasper Dupont:
>Rasmus Bøg Hansen wrote:
>>
>> Linux's iptables kan tillade RELATED trafik ved indlæsning af
>> ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).
>
>Har den support for både active og passive ftp? (Jeg havde
>lidt problemer sidst jeg prøvede, men det skal indrømmes,
>at jeg ikke gad bruge tid på at undersøge årsagen nærmere.)
Mig bekendt ja (jeg er kun 90% sikker).
Mvh
Kent
--
Object orientation: the idea, that humans find it easier to understand
"you.car.engine.start" than "start your car engine".
| |
Rasmus Bøg Hansen (18-02-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 18-02-03 19:21 |
|
Kasper Dupont <kasperd@daimi.au.dk> writes:
> Rasmus Bøg Hansen wrote:
>>
>> Linux's iptables kan tillade RELATED trafik ved indlæsning af
>> ip_conntrack_ftp.o (og ip_nat_ftp.o, hvis man bruger NAT).
>
> Har den support for både active og passive ftp? (Jeg havde
> lidt problemer sidst jeg prøvede, men det skal indrømmes,
> at jeg ikke gad bruge tid på at undersøge årsagen nærmere.)
Begge dele fungerer fint, ja.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp --dport 21 --syn -j ACCEPT
Hvis ftp-serveren kører på samme maskine som firewallen skal du lave
samme nummer med INPUT og OUTPUT. Følgende to klarer selve
håndteringen af ftp-forbindelser.
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
Derudover findes der en masse dokumentation af iptables på
bl. a. www.iptables.org.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Military Justice is to Justice, what Military Music is to Music.
-- Groucho Marx
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Robert Vilhelmsen (18-02-2003)
| Kommentar Fra : Robert Vilhelmsen |
Dato : 18-02-03 20:00 |
|
Tak for svarene. Umiddelbart tror jeg ikke min firewall understøtter
"automatisk" passiv FTP, så jeg må nok ty til andre produkter. Er der nogle
der kan anbefales?
Helst ikke Linux, - gerne en hardware box.
Robert.
| |
Kasper Dupont (19-02-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 19-02-03 10:27 |
|
Robert Vilhelmsen wrote:
>
> Helst ikke Linux, - gerne en hardware box.
En billig PC med to netkort og Linux er da også en slags
hardware box. Jeg vil ikke prøve på at kaste mig ud i en
sammenligning af pris og kvalitet. Det kan måske nok være
lidt svært at finde en PC, der er 100% lydløs.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Robert Vilhelmsen (19-02-2003)
| Kommentar Fra : Robert Vilhelmsen |
Dato : 19-02-03 11:08 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3E534DD6.CCF81DA@daimi.au.dk...
> Robert Vilhelmsen wrote:
> En billig PC med to netkort og Linux er da også en slags
> hardware box. Jeg vil ikke prøve på at kaste mig ud i en
> sammenligning af pris og kvalitet. Det kan måske nok være
> lidt svært at finde en PC, der er 100% lydløs.
Det var nu ikke så meget plads/støj jeg tænkte på, men derimod at jeg ikke
kan Linux OS på rygraden.
Derfor en lukket boks (watchguard/Cisco/Zyxel). De er nemmere at komme i
gang med.
Men tak for svaret.
Robert
| |
Kent Friis (19-02-2003)
| Kommentar Fra : Kent Friis |
Dato : 19-02-03 18:54 |
|
Den Wed, 19 Feb 2003 11:07:56 +0100 skrev Robert Vilhelmsen:
>
>"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
>news:3E534DD6.CCF81DA@daimi.au.dk...
>> Robert Vilhelmsen wrote:
>
>> En billig PC med to netkort og Linux er da også en slags
>> hardware box. Jeg vil ikke prøve på at kaste mig ud i en
>> sammenligning af pris og kvalitet. Det kan måske nok være
>> lidt svært at finde en PC, der er 100% lydløs.
>
>Det var nu ikke så meget plads/støj jeg tænkte på, men derimod at jeg ikke
>kan Linux OS på rygraden.
Kan du OS'et på en PIX på rygraden?
Kan du OS'et på en watchguard på rygraden? (Linux eller FreeBSD, så
vidt jeg husker fra den gang vi kiggede på dem).
Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox
| |
Robert Vilhelmsen (19-02-2003)
| Kommentar Fra : Robert Vilhelmsen |
Dato : 19-02-03 19:15 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b30gc5$mgk$5@sunsite.dk...
> Den Wed, 19 Feb 2003 11:07:56 +0100 skrev Robert Vilhelmsen:
>
> Kan du OS'et på en PIX på rygraden?
>
> Kan du OS'et på en watchguard på rygraden? (Linux eller FreeBSD, så
> vidt jeg husker fra den gang vi kiggede på dem).
>
Nej selvfølgelig kan jeg ikke det, men forstå mig korrekt. Min personlige
mening er, at hjælpen til PIX/watchguard
er bedre/nemmere at forstå end Linux. Ikke at de bliver bedre produkter af
denne grund.
Og jeg tror du har mht. linux på watchguard.
Min udfordring er at finde en firewall som er sikkerhedsmæssing i top, men
stadig til at "gå til" uden at skulle bruge måneder
på at lære OS?et at kende.
Robert.
| |
Kent Friis (19-02-2003)
| Kommentar Fra : Kent Friis |
Dato : 19-02-03 19:24 |
|
Den Wed, 19 Feb 2003 19:15:05 +0100 skrev Robert Vilhelmsen:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:b30gc5$mgk$5@sunsite.dk...
>> Den Wed, 19 Feb 2003 11:07:56 +0100 skrev Robert Vilhelmsen:
>>
>> Kan du OS'et på en PIX på rygraden?
>>
>> Kan du OS'et på en watchguard på rygraden? (Linux eller FreeBSD, så
>> vidt jeg husker fra den gang vi kiggede på dem).
>>
>
>Nej selvfølgelig kan jeg ikke det, men forstå mig korrekt. Min personlige
>mening er, at hjælpen til PIX/watchguard
>er bedre/nemmere at forstå end Linux. Ikke at de bliver bedre produkter af
>denne grund.
Selv vores Cisco-mand nede på arbejdet har problemer med at fatte
PIX'erne til tider. Det er ikke mange positive ting jeg hører om dem.
>Og jeg tror du har mht. linux på watchguard.
>
>Min udfordring er at finde en firewall som er sikkerhedsmæssing i top, men
>stadig til at "gå til" uden at skulle bruge måneder
>på at lære OS?et at kende.
Så vidt jeg husker findes der linux-distributioner der er målrettede
som firewall, så du slipper for alt det udenoms. Måske det var noget?
Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped
With XMMS tugging along nicely, playing Vivaldi...
| |
Robert Vilhelmsen (19-02-2003)
| Kommentar Fra : Robert Vilhelmsen |
Dato : 19-02-03 19:29 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b30i4c$cpm$1@sunsite.dk...
> Den Wed, 19 Feb 2003 19:15:05 +0100 skrev Robert Vilhelmsen:
> >
> Så vidt jeg husker findes der linux-distributioner der er målrettede
> som firewall, så du slipper for alt det udenoms. Måske det var noget?
>
Jeg ved at Linux kan yde mindst lige så godt som "kendte" mærkevare derfor
har jeg også været interesseret i samme, men har umiddelbart ikke rigtigt
fået gjort noget ved det. Det er svært at begynde på noget nyt.
Er der nogle af distributionerne du kan anbefale ?
Robert.
| |
Kent Friis (19-02-2003)
| Kommentar Fra : Kent Friis |
Dato : 19-02-03 19:55 |
|
Den Wed, 19 Feb 2003 19:29:09 +0100 skrev Robert Vilhelmsen:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:b30i4c$cpm$1@sunsite.dk...
>> Den Wed, 19 Feb 2003 19:15:05 +0100 skrev Robert Vilhelmsen:
>> >
>> Så vidt jeg husker findes der linux-distributioner der er målrettede
>> som firewall, så du slipper for alt det udenoms. Måske det var noget?
>>
>Jeg ved at Linux kan yde mindst lige så godt som "kendte" mærkevare derfor
>har jeg også været interesseret i samme, men har umiddelbart ikke rigtigt
>fået gjort noget ved det. Det er svært at begynde på noget nyt.
>
>Er der nogle af distributionerne du kan anbefale ?
Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
holdt mig til de mere nørdede
Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"
| |
Robert Vilhelmsen (19-02-2003)
| Kommentar Fra : Robert Vilhelmsen |
Dato : 19-02-03 20:20 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b30ju0$kje$1@sunsite.dk...
> Den Wed, 19 Feb 2003 19:29:09 +0100 skrev Robert Vilhelmsen:
> Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
> holdt mig til de mere nørdede
>
Jeg ser mig omkring. Tak for svaret.
Robert
| |
Morten Wulff (19-02-2003)
| Kommentar Fra : Morten Wulff |
Dato : 19-02-03 20:43 |
|
On Wed, 19 Feb 2003 18:54:56 +0000 (UTC), Kent Friis <leeloo@phreaker.net>
wrote:
>> Jeg ved at Linux kan yde mindst lige så godt som "kendte" mærkevare
>> derfor
>> har jeg også været interesseret i samme, men har umiddelbart ikke
>> rigtigt
>> fået gjort noget ved det. Det er svært at begynde på noget nyt.
>>
>> Er der nogle af distributionerne du kan anbefale ?
Du kan prøve at kigge på følgende:
http://www.zelow.no/floppyfw/
( http://www.linuxrouter.org/ er også et bud, men jeg ved ikke om den bliver
vedligeholdt)
/wulff
--
Self Injury Information and Support: www.psyke.org
| |
Jan Bøgh (21-02-2003)
| Kommentar Fra : Jan Bøgh |
Dato : 21-02-03 11:34 |
|
"Kent Friis" <leeloo@phreaker.net> wrote in message
news:b30ju0$kje$1@sunsite.dk...
> Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
> holdt mig til de mere nørdede
www.smoothwall.org
elle prøv at google 'IPcop download'.
hilsen
Jan
| |
Jan Bøgh (21-02-2003)
| Kommentar Fra : Jan Bøgh |
Dato : 21-02-03 11:34 |
|
"Kent Friis" <leeloo@phreaker.net> wrote in message
news:b30ju0$kje$1@sunsite.dk...
> Desværre, jeg har aldrig brugt de målrettede distributioner. Har altid
> holdt mig til de mere nørdede
www.smoothwall.org
elle prøv at google 'IPcop download'.
hilsen
Jan
| |
|
|