Hallo,
ich hoffe jemand kann mir bei meinem ftp-Problem helfen!
Seit 2 wochen versuche ich auf meiner FreeBSD-Kiste meine Firewall (ipfw-Packetfilter) richtig zu konfigurieren.
mein Problem: dazu erst mal mein netz
3 pc; 1. pc (firewall) 2. pc (dmz mit ftp-server) 3. pc private Netzadresse;
1.pc : natd, ipfw mit eigenen regeln, freeBSD, 3 Schnittstellen wobei nat auf der nach außen
2.pc : ftpd (Standard) freeBSD
3.pc : freeBSD
Ich möchte nun auf der firewall erlauben das alle Nutzer intern, ftp im passiven modus und im aktiven Modus nach außen (öffentliche ftp internet) nutzen können.
Im nächsten Schritt sollen alle Nutzer von außen, meinen ftp (in der dmz) sowohl im aktiven als auch im passiven Modus nutzen können.
Hier liegt auch mein Problem. ich habe es geschafft das alle von außen im aktiven Modus auf meinen ftp kommen und auch nutzen können, jedoch von
außen auf meinen ftp im passiven Modus das geht nicht.
Mir ist die Problematik bei dieser eingehenden passiven ftp-Verbindung bekannt (Eingehender Datenkanal von Client-außen auf meinen ftp (port >1024)).
Ich habe auch bei meiner tagelangen Suche im Netz unterschiedliche Lösungsansätze entdeckt.
1.die Ports von 1024-65535 offen lassen dann gibt es kein Problem (kann noch eingeschrenkt werden 49151-65535)
2.keinen ftp-server mit passivem Modus anbieten sondern nur aktiv
3.einen eigenen deamon schreiben der sich merkt welche Anfrage kamen und dann nur speziell die entsprechende Antwort durchlässt (irgendwie über divert in den firewall-rules möglich keine Ahnung wie).
4.Einen ftp-proxy realisieren
5.-punch_fw Option bei natd
Die 1. Variante ist mir zu unsicher und die 2. möchte ich nicht, da es ja irgendwie möglich sein muss!
Zur 3. und 4. Alternativen habe ich zwar einige Ansätze in Diskussionen gefunden jedoch keine genauen Hinweise der Umsetzung. Den 5. Punkt habe ich ausprobiert konnte aber nur aktiv lösen.
Ebenfalls habe ich viel zu "statful rules" gefunden konnte aber auch hier keine Lösung zu meinem Problem entdecken.
ich hoffe jemand kann mir Tips geben wie ich dieses Problem lösen kann
Mit freundlichen Grüßen
heech
ich hoffe jemand kann mir bei meinem ftp-Problem helfen!
Seit 2 wochen versuche ich auf meiner FreeBSD-Kiste meine Firewall (ipfw-Packetfilter) richtig zu konfigurieren.
mein Problem: dazu erst mal mein netz
3 pc; 1. pc (firewall) 2. pc (dmz mit ftp-server) 3. pc private Netzadresse;
1.pc : natd, ipfw mit eigenen regeln, freeBSD, 3 Schnittstellen wobei nat auf der nach außen
2.pc : ftpd (Standard) freeBSD
3.pc : freeBSD
Ich möchte nun auf der firewall erlauben das alle Nutzer intern, ftp im passiven modus und im aktiven Modus nach außen (öffentliche ftp internet) nutzen können.
Im nächsten Schritt sollen alle Nutzer von außen, meinen ftp (in der dmz) sowohl im aktiven als auch im passiven Modus nutzen können.
Hier liegt auch mein Problem. ich habe es geschafft das alle von außen im aktiven Modus auf meinen ftp kommen und auch nutzen können, jedoch von
außen auf meinen ftp im passiven Modus das geht nicht.
Mir ist die Problematik bei dieser eingehenden passiven ftp-Verbindung bekannt (Eingehender Datenkanal von Client-außen auf meinen ftp (port >1024)).
Ich habe auch bei meiner tagelangen Suche im Netz unterschiedliche Lösungsansätze entdeckt.
1.die Ports von 1024-65535 offen lassen dann gibt es kein Problem (kann noch eingeschrenkt werden 49151-65535)
2.keinen ftp-server mit passivem Modus anbieten sondern nur aktiv
3.einen eigenen deamon schreiben der sich merkt welche Anfrage kamen und dann nur speziell die entsprechende Antwort durchlässt (irgendwie über divert in den firewall-rules möglich keine Ahnung wie).
4.Einen ftp-proxy realisieren
5.-punch_fw Option bei natd
Die 1. Variante ist mir zu unsicher und die 2. möchte ich nicht, da es ja irgendwie möglich sein muss!
Zur 3. und 4. Alternativen habe ich zwar einige Ansätze in Diskussionen gefunden jedoch keine genauen Hinweise der Umsetzung. Den 5. Punkt habe ich ausprobiert konnte aber nur aktiv lösen.
Ebenfalls habe ich viel zu "statful rules" gefunden konnte aber auch hier keine Lösung zu meinem Problem entdecken.
ich hoffe jemand kann mir Tips geben wie ich dieses Problem lösen kann
Mit freundlichen Grüßen
heech
Zuletzt bearbeitet: