Zar je to moguće ostvariti bez ,,prisluškivanja'' FTP konekcije i sa ovako striktnim podešavanjima?
FTP je malo specifičan. Kada se zahteva rad pomoću njega, za svako slanje podataka se otvara novi komunikacioni kanal (čitaj port i na jednoj i na drugoj mašini, i to neprivilegovani, tj. >1023). Prema tome, računar koji je zapravo FTP server otvara novi ,,server'' za dotičnu konekciju i u jednom rezultujućem kodu FTP naredbe vraća na kom se portu on pokreće. Ovo je kada se koristi ,,aktivni FTP''.
Kada se koristi ,,pasivni FTP'', klijent postaje server (otvara novi port za tu svrhu), a FTP server se ponaša kao klijent.
Ukoliko, na primer, ne možeš da pokreneš neki web browser i povežeš se na neki HTTP server u lokalnoj mreži, onda neće raditi ni pasivni FTP.
Ovo ste sigurno znali, ali možda niste obratili pažnju na to. Naime, za aktivni FTP pogledaj kako si podesio ,,in'', a za pasivni ,,out''. Ono što je iznenađujuće je da si liberalniji po pitanju ,,in'' umesto po pitanju ,,out'' saobraćaja.
Verujem da je upravo to problem, pošto je pasivni FTP namenjen upravo konvencionalnom ponašanju, i obrnutim podešavanjima. Zbog toga, ono što mi se čini da bi moglo biti
rešenje (ne koristim OpenBSD, pa nemam prilike da to proverim, a ni iskustva)
je da dodaš ,,from any to any'' i za ,,out'' pošto samo pasivni FTP pravi probleme. Takođe, ako želiš da budeš restriktniji, bolje to izbaci iz ,,in'' podešavanja.
Za sve o FTP-u pogledajte ,,zbirku'' RFC dokumenata na
http://www.faqs.org/rfcs/ftp-rfcs.html
Za detaljniju diskusiju o svemu ovome na
http://www.faqs.org/rfcs/rfc2428.html (FTP Extensions for IPv6 and NATs)
http://www.faqs.org/rfcs/rfc1579.html (Firewall-Friendly FTP)
Toliko hS //www.suse.de/en/company/p
Možda se moje mišljenje promenilo, ali ne i činjenica da sam u pravu.