Portál AbcLinuxu, 25. dubna 2024 04:14


Dotaz: Ftp za routerem a GW

20.11.2004 09:58 asdf
Ftp za routerem a GW
Přečteno: 85×
Odpovědět | Admin
Zdravím potřeboval bych rozchodit ftp ve win xp ktery ma interni IP adresu a je pripojenej na router ktery je este pripojen na Internet GW s verejnou ip. Zajimalo by jestli nekdo nevi jake prikazy zadat do routeru a GW .. chtel bych aby ftp chodilo pouze na nejakem portu ne priradit celou verejnou ip
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.11.2004 12:01 pajka | skóre: 4
Rozbalit Rozbalit vše Re: Ftp za routerem a GW
Odpovědět | | Sbalit | Link | Blokovat | Admin
Predpokladam, ze mas na mysli ze chces na tech oknech rozchodit FTP server a ne klienta ze:-)

Je to docela easy. Na routeru musis urobit PREROUTING na to tvoje pecko do te site a pak to jeste povolit v retezci FORWARD. Zalezi jako typ prenosu vyberes- Aktivni / pasivni--- dopurucuji pasivni z hlediska bezpecnosti.

A jeste nezapomen na routeru ve FW natahnout modul ip_conntrack_ftp...

Pajka

Nohafica zase v jardu
____ Linux Now! ...Because friends don't let friends use Microsoft...
Nevis nahodou jaky by to konkretne byly prikazy ? jinak na routeru FW neni
20.11.2004 14:03 jm
Rozbalit Rozbalit vše Re: RE
Tak nastavte firewall tam, kde je, ne?
20.11.2004 15:20 asdf
Rozbalit Rozbalit vše Re: Ftp za routerem a GW
Odpovědět | | Sbalit | Link | Blokovat | Admin
Potreboval bych vedet nejake konkretni prikazy
20.11.2004 16:06 pajka | skóre: 4
Rozbalit Rozbalit vše Re: Ftp za routerem a GW
Mnooo co takhle pocist iptables???? nebo pohledat na netu??? Ja jsem to taky kdysi vubec nedaval a za takove otazky me tady lidi "bili po usich" :-)

Ve FW musis udelat Prerouting:

/sbin/iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 20 -j DNAT --to-destination 10.10.10.10:20

Nevim jestli FTP je 20 ci 21---pak si to kdyztak zmen
A pak jeste povolit v retezci FORWARD- predpokladam ze ten FW bezi na routeru:-)

/sbin/iptables -A FORWARD -p tcp -d 10.10.10.10 --dport 20 -j ACCEPT

Pokud samozrejme mas FW jako stavovy firewall....
____ Linux Now! ...Because friends don't let friends use Microsoft...
20.11.2004 16:27 jm
Rozbalit Rozbalit vše Re: Ftp za routerem a GW
Oboji, ale prichozi port 20 v iptables neni treba povolovat, protoze tam konexi navazuje u aktivniho rezimu server a u pasivniho se nepouziva.

Jeste k tomu pasivnimu vs. aktivnimu rezimu - ten pasivni rezim je nutny kvuli tomu, aby se na server mohli pripojit lidi, kteri jsou za firewallem. S bezpecnosti serveru to nema prilis co delat, ono je to spis naopak, zatimco u aktivniho rezimu staci porty 20 a 21, u pasivniho jich musi byt na serveru otevrenych daleko vic. Samotny FTP server je pak dulezite nastavit tak, aby pouzival dostatecny rozsah pasivnich portu, jinak muze dojit k tomu, ze pri prilis velkem poctu klientu nekdo "ukradne" cizi pripojeni. Pri nastavovani iptables nezapomenout na moduly ip_conntrack_ftp a ip_nat_ftp, jinak budou problemy. ;-)
20.11.2004 17:58 pajka | skóre: 4
Rozbalit Rozbalit vše Re: Ftp za routerem a GW
Jo, s tim presne souhlasim, ale pasivní režim: server pošle klientovi port (nad 1024) a on se na něj připojí (z > 1024). Novější programy, hlavně WWW browsery, preferují pasivní FTP režim, který je pokládán za bezpečnější, halvně kvůli tomu, že datové spojení je navazováno ve stejném směru jako původní požadavek.

PajKA
____ Linux Now! ...Because friends don't let friends use Microsoft...
21.11.2004 11:23 jm
Rozbalit Rozbalit vše Re: Ftp za routerem a GW
Bezpecnejsi, jak pro koho... Pro klienta ano, pro server ne.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.