ftp-proxy fuer 3 Directions?

ports

ports

Active Member
Hi zusammen,

kann _ein_ ftp-proxy fuer 3 Directions genutzt werden? Also LAN=>DMZ,
LAN=>Internet, Internet=>DMZ?
Ich bin gerade dabei meine pf.conf zu erstellen und da kam mir eben
diese Frage, als ich an den Punkt "FTP" kam. Und bevor ich jetzt
rumteste, mit tcpdump spiele und dann nach Stunden festelle, dass ich
mit einem ftp-proxy nicht hinkomme, frage ich lieber nach ;)

Ich glaube es funktioniert, denke aber, dass es etwas der Uebersicht
dient, wenn man evtl. mehr als einen Proxy benutzt.

por"der seine fertig pf.conf dann auch mal begutachten laesst"ts
 
Hmmm ... zu so einem Fall habe ich keine direkten Erfahrungen
gesammelt, kenne aber ein Dokument, dass sich mit der
Erstellung von multiplen Apache-Servern beschäftigt.

Dieses kannst du dir sozusagen als analoge Anregung mal
anschauen. :)

http://www.giac.org/practical/GCUX/Christopher_Kruslicky_GCUX.pdf

Ich sehe mal zu, dass ich sowas selber ausprobiere (aus reiner
Neugier, welche Methoden da vorzuziehen sind)

Auf jeden Fall ist es eine interessante Sache (wenn auch etwas
ungewöhnlich)

Grüße

CW
 
Original geschrieben von CW
Hmmm ... zu so einem Fall habe ich keine direkten Erfahrungen
gesammelt, kenne aber ein Dokument, dass sich mit der
Erstellung von multiplen Apache-Servern beschäftigt.

Dieses kannst du dir sozusagen als analoge Anregung mal
anschauen. :)

http://www.giac.org/practical/GCUX/Christopher_Kruslicky_GCUX.pdf
Zum Vergrößern anklicken....
Danke erst mal fuer die URL. Aber dass dir eine solcher Fall nicht
untergekommen ist macht mich etwas stutzig ;)
Ich koennte mir denken, dass es eine nicht so unuebliche Anforderung
ist.
Ich sag mal schnell was zu meiner Umgebung. Ein LAN mit mehreren PCs,
eine DMZ mit einem Server (ftp, ssh, http) und eben das boese Internet.
Paketfilter ist eine kleine Kiste mit 3 NICs und OpenBSD 3.4 current.
Jetzt ist es natuerlich verstaendlich, dass man aus dem LAN heraus FTP
ins Internet herein nutzen moechte. Verschiedene Maschinen, eigentlich
eine, sollen auf den FTP, den der Server in der DMZ bereitstellt,
zugreifen koennen. Als weiteres sollen bestimmte Clients aus dem
Internet auf den FTP in der DMZ zugreifen koennen.
Ich dachet also die Situation waere "relativ" gewoehnlich. Naja, wie
auch immer :) Auf jeden Fall habe ich ja 'pf' im Einsatz und moechte
die Zugriffe natuerlich reglementieren. Daher meine anfaengliche Frage.
Wenn es eine gangbare Alternative gibt, immer her damit. ;)

Ich bin sowieso mal gespannt ob meine 'pf.conf' hier spaeter komplett
zerlegt wird ;)

Original geschrieben von CW
Ich sehe mal zu, dass ich sowas selber ausprobiere (aus reiner
Neugier, welche Methoden da vorzuziehen sind)

Auf jeden Fall ist es eine interessante Sache (wenn auch etwas
ungewöhnlich)
Zum Vergrößern anklicken....
Da bin ich ja mal auf Ergebnisse gespannt. :)

ports
 
Original geschrieben von ports
Danke erst mal fuer die URL. Aber dass dir eine solcher Fall nicht
untergekommen ist macht mich etwas stutzig ;)
Zum Vergrößern anklicken....

Das Aufsplitten des Traffics nach bestimmten Gesichtspunkten ist mir schon bekannt.

Dies jedoch mit einem drei-Wege-pft-proxy zu machen ist
halt nicht üblich. Normalerweise macht man dies (so
würde ich es machen) mit einem Redirect (Port / IP) und
nicht mit einer ftp-proxy-Software, wenn man schon Netzwerke
splitten will.

Da ein Netzwerk ja nicht erst bei einer Anwendung
anfängt (also ftp-proxy), sondern viel eher anzutreffen ist
(also auf den TCP/IP-Schichten), sollte man schon da
anfangen, die einzelnen Traffics zu sortieren.

Und da du dich ja mit pf.conf beschäftigen möchtest,
musst du ja ohnehin auf diesen beiden Schichten filtern :)

Natürlich ist dies nicht die einzige Möglichkeit, denn du
könntest ja mehrere Proxies einbauen, die als
eine Art Application-Level-Gateway fungieren, jedoch
wäre bei so einem Aufbau relativ wenig mit pf zu machen.

Ich koennte mir denken, dass es eine nicht so unuebliche Anforderung
ist.
Zum Vergrößern anklicken....

Anforderung nicht ... die Umsetzung aber schon ;)

Ich sag mal schnell was zu meiner Umgebung.
Zum Vergrößern anklicken....

Das wäre sehr nett. :)

Ein LAN mit mehreren PCs,
eine DMZ mit einem Server (ftp, ssh, http) und eben das boese Internet.

Paketfilter ist eine kleine Kiste mit 3 NICs und OpenBSD 3.4 current.
Zum Vergrößern anklicken....

Also, wie ich schon sagte, wenn du pf benutzt, dann
musst du schon tiefer anfangen.

Da musst du die Manpages und FAQs anschauen. ;)

Ist einfach Standard.

Jetzt ist es natuerlich verstaendlich, dass man aus dem LAN heraus FTP
ins Internet herein nutzen moechte.
Zum Vergrößern anklicken....

Du meinst wohl, dass deine Clients nach draußen FTP-Anfragen bei anderen unbekannten Servern starten dürfen?

Da hast du halt mehrere Lösungen parat.

Entweder du machst es mit pf (mit States und Filterung)
oder du setzt einen Proxy nur für diese eine Aufgabe ein.

Ich würde nicht ein Proxy alles machen lassen.

Verschiedene Maschinen, eigentlich
eine, sollen auf den FTP, den der Server in der DMZ bereitstellt,
zugreifen koennen.
Zum Vergrößern anklicken....

Dann sollte dieser Server durch eine Firewall geschützt
werden (also --> pf auf eine Maschine drauf setzen und
diese dann von den FTP-Server platzieren)

Als weiteres sollen bestimmte Clients aus dem
Internet auf den FTP in der DMZ zugreifen koennen.
Zum Vergrößern anklicken....

Also: noch mehr Filtern ... wir hüpfen also immer noch von
der IP zu TCP schicht hin und her.

Ich dachet also die Situation waere "relativ" gewoehnlich.
Zum Vergrößern anklicken....

Natürlich, jedoch das was du vor hattest, war ungewöhnlich. Zumindest was mein kleines Erfahrungshorizont angeht, war dies als ungewöhnloch zu
verstehen.

Naja, wie
auch immer :) Auf jeden Fall habe ich ja 'pf' im Einsatz und moechte
die Zugriffe natuerlich reglementieren.
Zum Vergrößern anklicken....

Dann musst du lernen, dass pf und ein ftp-prxy verschiedene "Ebenen" deines Netzes repräsentieren.

Die kann man wunderbar miteinander agieren lassen,
jedoch sind die nicht auf der gleichen Stufe anzutreffen.

Das bedeutet wiederum für dich, zu entscheiden, was
du bevorzugst und ob du beides auch wirklich einsetzen
solltest und ob es nicht etwas weniger aufwändig
realisierbar ist.

Daher meine anfaengliche Frage.
Wenn es eine gangbare Alternative gibt, immer her damit. ;)
Zum Vergrößern anklicken....

Einfach mal googeln. ;)

Ich bin sowieso mal gespannt ob meine 'pf.conf' hier spaeter komplett
zerlegt wird ;)
Zum Vergrößern anklicken....

Das geschieht hier mit allen ;)

Da bin ich ja mal auf Ergebnisse gespannt. :)

ports [/B]
Zum Vergrößern anklicken....

Ich habe halt andere Methoden angewandt. Da ich
aber jetzt bei der Arbeit bin und eigentlich nicht
posten sollte, werde ich dir später ein paar Details
mehr aufschreiben. Jetzt würde es nicht so viel Sinn
haben, mal eben was hineinzukritzeln. :)

Grüße

CW
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben