pf, rdr + ftp

FreeBSD-all

pf, rdr + ftp

  • 745 megtekintés

( transglob v | 2005. 04. 19., k – 13:52 )

Hali!

Nah már majdnem mindent sikerült megoldani pf ügyben kivéve egyet.

Jelenleg minden tcp, udp port forwardolva (kivéve persze ssh) van a belső szervernek (már írtam de azért kell, hogy a másik "ms" kolléga tudja a tűzfalszabályokat hergelni isa2004 serveren, nem ért és nem is akar érteni a command line-hoz :D )

....

rdr on $ext_if1 proto tcp from any to any port 1:21 -> $gizike port 1:21
rdr on $ext_if2 proto tcp from any to any port 1:21 -> $gizike port 1:21

rdr on $ext_if1 proto tcp from any to any port 23:65535 -> $gizike port 23:665
rdr on $ext_if2 proto tcp from any to any port 23:65535 -> $gizike port 23:665

rdr on $ext_if1 proto udp from any to any port 1:65535 -> $gizike port 1:65535
rdr on $ext_if2 proto udp from any to any port 1:65535 -> $gizike port 1:65535

....

dehát ugye így nem megy az ftp!
Ahhoz, hogy menjen munkába kéne állítani az ftp-proxy-t ami inetd-ben megfelelő sorából comment kivevése, inetd elindítása, belső if ftp forgalmának átirányítása localhost ftp-proxy-ra + 1 sor még, hogy menjen az active ftp is.

lásd.: http://www.openbsd.org/faq/pf/ftp.html
"FTP Client Behind the Firewall"

Meg is csináltam rendben mennie is kéne DE
Ugyebár ha vki indít egy ftp connect-et az vmely magas portról megy ki az ftp server 21-es portjára (jelen esetben gondolom connect indít magasportról ftp-proxy , ftp-proxy magas portról ftp server) utánna az ftp server visszaküldi a dolgokat arra a magas portra amiről jött a kérés (vagy nem?) nade itt a bökkenő mert ugye minden portom forwardolva van befelé így esély nincs, hogy a ftp-proxy megkapja a csomit!!!

Van vkinek 5lete, hogy mi a péket csinálja ezzel???

Meg kéne oldani mert most kb ftp ügyben el van vágva az egész iroda a külvilágtól ami nem túl yó. (A poén még az, hogy van egy ftp-server amire ki lehet kapcsolódni ugyis, hogyha nem üzemel az ftp-proxy :D de a többi amit próbáltam nem megy lsd: ftp.fsn.hu).
Gondoltam, hogy fogom és a magas portokat (port>1024) nem forwardolom azt yó lessz de mint kiderült pl remote desktop + még sok minden azon megy ezért ez sem megoldható!

Teljesen el vagyok keseredve :D

plíz help