[LUGA] Mit freundlicher Unterstützung von:
OCG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] linux firewall



On 2002-01-28 16:00:27 +0100, Robert Waldner wrote:
> 
> On Mon, 28 Jan 2002 14:56:24 +0100, Michael Demelbauer writes:
> >Disclaimer: Leute, die wirklich was von Firwalls verstehen, sollten
> >diese Email ungelesen kübeln :-( .
> 
> Warum? Deine Ausfuehrungen sind nicht unrichtig,
> 
> >Dies hat zahlreiche Vorteile bei unter stateless schwierig bis gar nicht
> >sicher zu konfigurierenden Diensten (wie z.B. active ftp)
> 
> Active FTP ist recht einfach zu konfigurieren, nur muss es bei 
>  stateless Filtering der Applikation allein ueberlassen werden, zu 
>  entscheiden, ob die Connection auf den -data-Port legal oder nicht ist.

Leider hat man keine Connection zum Data-Port, sondern eine vom
Data-Port. d.h, man muß 

* am Firewall des Servers alle outgoing Connections vom Data-Port zu
  beliebigen High-Ports erlauben (eventuell schon durch eine "alle von 
  innen kommenden Verbindungen sind erlaubt"-Regel abgedeckt).

* am Firewall des Clients alle Verbindungen von Port 20 auf alle
  High-Ports (genauer: die, die die Client-Software alloziert) erlauben.

Für Clients möchte man also active FTP nicht verwenden, weil sich da
öfters noch andere Server auf High-Porst tummeln, vor allem, wenn man
SunRPC, CDE, CORBA oder ähnliches Zeugs verwendet, das keine well known
ports verwendet, sondern irgendwelche High Ports, so daß man die nicht
individuell blockieren kann.

Bei Passive FTP ist es umgekehrt:

* Am Client erlaube ich beliebige outgoing connections auf High Ports

* Am Server muß ich incoming Connections von beliebigen High Ports auf
  beliebige High Ports erlauben, was ziemlich ungut ist, wenn die
  Maschine kein dedizierter FTP-Server ist (siehe Situation des Clients
  oben). Wenn man Glück hat, kann man die Port-Range einschränken und
  in einen Bereich verschieben, den sonst kein Server verwendet, was das
  ganze wieder einigermaßen sicher macht.

Zusammenfassend will man mit stateless Packetfiltern am Server kein
passive FTP erlauben und am
Client kein active FTP, insgesamt also gar kein FTP :-)

Wobei man eine RFC-konforme Implementation von FTP auch in einem
stateful packet filter nicht haben will, wie die frühen 2.4.x-Kernel
gezeigt haben.


> >IdF. ist es besser die benötigte Expertise zuzukaufen,
> 
> Wird das WSR jetzt Kunde von uns :-? SCNR.

http://www.toolmedia.de/Sound/Al/dasglaubichnichttim.MP3

SCNRE.

	hp


-- 
   _  | Peter J. Holzer    |
|_|_) | Sysadmin WSR       | In case of emergency break laws of physics.
| |   | hjp@hjp.at         |
__/   | http://www.hjp.at/ | 	-- Stephen Baxter

Attachment: pgpzDJKXDwylb.pgp
Description: PGP signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010