The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IPFW и FTP ничего не понимаю"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPFW и FTP ничего не понимаю"  
Сообщение от erik on 11-Июл-06, 12:05 
Всем привет.
Есть машина под FreeBSD, ядро собрано с IPFW и правилом deny. Крутится proftpd.
При подключении что в active что в passive mode к ftp, виснем на команде list
Правила для ipfw такие:

ipfw="/sbin/ipfw"
extif1="xl0"
rfc_nets="192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8, 0.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 204.152.64.0/23, 224.0.0.0/3"
in_tcp_ports="20,21"

${ipfw} -f flush

${ipfw} add allow all from any to any via lo0


${ipfw} add deny log logamount 1000 all from ${rfc_nets} to any via ${extif1}
${ipfw} add deny log logamount 1000 all from any to ${rfc_nets} via ${extif1}

#Pass all outgoing traffic
${ipfw} add allow all from me to any keep-state out via ${extif1}

#Pass incoming traffic on extif for daemons
${ipfw} add allow icmp from any to me in via ${extif1} icmptypes 8
${ipfw} add allow tcp from any to me ${in_tcp_ports} keep-state in via ${extif1}
${ipfw} add allow udp from any to me ${in_udp_ports} keep-state in via ${extif1}

${ipfw} add 65534 deny log logamount 50000 all from any to any


лог proftpd:
mail1.devoffice.com UNKNOWN nobody [11/Jul/2006:10:58:20 +0300] "USER monophonic" 331 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:20 +0300] "PASS (hidden)" 230 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "SYST" 215 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "FEAT" 211 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "PWD" 257 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "TYPE A" 200 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:21 +0300] "PASV" 227 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:43 +0300] "PORT 217,77,211,246,6,206" 200 -
mail1.devoffice.com UNKNOWN nobody [11/Jul/2006:10:58:54 +0300] "USER monophonic" 331 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "PASS (hidden)" 230 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "SYST" 215 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "FEAT" 211 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "PWD" 257 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "TYPE A" 200 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:58:55 +0300] "PORT 217,77,211,246,6,211" 200 -
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:10:59:58 +0300] "LIST" 425 0
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:11:00:11 +0300] "LIST" 425 0
mail1.devoffice.com UNKNOWN monophonic [11/Jul/2006:11:00:18 +0300] "QUIT" 221 -

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "IPFW и FTP ничего не понимаю"  
Сообщение от muhlik (??) on 11-Июл-06, 15:25 
Хм... писал-писал, оказалось что не заметил одного правила, в общем активный режим при таких правилах работать должен, а вот здесь
in_tcp_ports="20,21"
20-й порт лишний...
В общем, поснифьте, поглядите что куда ходит, а также смотрите что у вас в /var/log/security.
Да вот еще, в приведенном Вами логе, я правильно понял что и сервер и клиент ФТП были запущены на одной машине?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "IPFW и FTP ничего не понимаю"  
Сообщение от erik on 12-Июл-06, 15:26 
>Хм... писал-писал, оказалось что не заметил одного правила, в общем активный режим
>при таких правилах работать должен, а вот здесь
>in_tcp_ports="20,21"
>20-й порт лишний...
>В общем, поснифьте, поглядите что куда ходит, а также смотрите что у
>вас в /var/log/security.
>Да вот еще, в приведенном Вами логе, я правильно понял что и
>сервер и клиент ФТП были запущены на одной машине?

Да, в активном работает как оказалось.
20-ый порт закрыл, действительно лишний (мне RFC читать надо бы сперва :)
А для пассивного режима сделал проще (хотя может и коряво с точки зрения безопасности):
Указал proftpd использовать для passive mode порты с 35000 по 35100 и открыл их в ipfw

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "IPFW и FTP ничего не понимаю"  
Сообщение от muhlik (??) on 13-Июл-06, 09:09 
Ну в общем-то мне кажется это единственное решение которое можно придумать на базе IPFW ;-)
ЗЫ эх ну когда же во фрюшке появится хоть что-то удаленно напоминающее iptables с его conntrack'ами :-(
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "IPFW и FTP ничего не понимаю"  
Сообщение от erik on 14-Июл-06, 09:50 
>Ну в общем-то мне кажется это единственное решение которое можно придумать на
>базе IPFW ;-)
>ЗЫ эх ну когда же во фрюшке появится хоть что-то удаленно напоминающее
>iptables с его conntrack'ами :-(
эээээ так ведь PF есть :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру