Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

OpenBSD PF & pasivni FTP

[es] :: BSD :: OpenBSD PF & pasivni FTP

[ Pregleda: 5789 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

nukeshack
nukeshack
/serbia

Član broj: 4232
Poruke: 26
*.yunord.net.

Jabber: nukeshack@jabber.com
Sajt: nukeshack.org


Profil

icon OpenBSD PF & pasivni FTP17.08.2002. u 11:50 - pre 222 meseci
Pozdrav svima .... Imam problem koji me zivcira poslednjih nekoliko dana, naime radi se o OpenBSD masini, sa pf, nat i default openbsd ftp serverom. Kada se poveze na ftp server na masini sve radi ok ukoliko je active ftp mod, dok u passive ftp-u se moze povezati bez problema, medjutim dolazi do timeouta kada se pokusa bilo sta, recimo listanje fajlova. Ovaj problem je dokumentovan u Networking FAQ-u OpenBSD-a, problem prave bas pf i nat, doslovno sam uradio sve sto tamo pise, konfigurisao ftp-proxy, medjutim passive ftp i dalje ne funkcionise .... Da li se neko mozda vec susreo sa ovakvim problemom ? I naravno, da li je uspeo da ga resi i kako ? ...
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.verat.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: OpenBSD PF & pasivni FTP17.08.2002. u 13:37 - pre 222 meseci
Nisi napisao koja pf pravila koristis.

Evo mojih:

nat.conf:
Code:

nat on tun0 from 192.168.0.0/24 to any -> tun0
rdr on ne1 proto tcp from any to any port 21 -> 127.0.0.1 port 8081


i bitna linija u inetd.conf:
Code:
127.0.0.1:8081            stream  tcp     nowait  root    /usr/libexec/ftp-proxy  ftp-proxy


pf.conf mi je krajnje liberalan:
Code:

pass in all
pass out all


Sistem je 3.1-stable, mada ova pravila koristim jos od 3.0-base, ako to ima nekog znacaja.

Nadam se da pravila govore sve ... Ako treba pojasnjenje vici ...


"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

nukeshack
nukeshack
/serbia

Član broj: 4232
Poruke: 26
*.yunord.net.

Jabber: nukeshack@jabber.com
Sajt: nukeshack.org


Profil

icon Re: OpenBSD PF & pasivni FTP19.08.2002. u 10:29 - pre 222 meseci
Jeste, pf pravila su u pitanju, posto sa pass in/out all radi bez problema. Pravila se svode uglavnom na propustanje standardnih web servisa, dok je ostalo zatvoreno. Problem prave dva block in/out koja se pojavljuju pre pass pravila. Dovoljno je da je prisutan samo jedan block i pasivni ftp ode u tajmaut.

Code:

ExtIF = "ne1"
Services = "{ www, https, ftp, ftp-data, irc, smtp, pop3 }"
#
scrub in all
#
block in on $ExtIF all
pass in on $ExtIF inet proto { tcp, udp } from any to any port = domain keep state
pass in on $ExtIF inet proto tcp from any to any port $Services flags S/SA keep state
#
block out on $ExtIF all
pass out on $ExtIF inet proto tcp all flags S/SA keep state
pass out on $ExtIF inet proto udp all keep state
pass out on $ExtIF inet proto icmp all keep state


 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.verat.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: OpenBSD PF & pasivni FTP20.08.2002. u 01:25 - pre 222 meseci
Zdravo opet hrabra duso,
gledaj da block pravilo uvek postavis na kraj, pri kreiranju pravila. Malo nelogicno, ali tako je.

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

nukeshack
nukeshack
/serbia

Član broj: 4232
Poruke: 26
*.yunord.net.

Jabber: nukeshack@jabber.com
Sajt: nukeshack.org


Profil

icon Re: OpenBSD PF & pasivni FTP20.08.2002. u 09:10 - pre 222 meseci
Naravno da nije nelogicno, ali valjda faq ne laze -
http://www.openbsd.org/faq/faq6.html#PF, a po njemu je redosled pravila u redu (It is important to keep this in mind when writing packet filter rules: The last matching rule wins). For the record, i to sam pokusao, ali izgleda da ne pravi razliku da li block stavim ispred ili iza pass (quick), posto ftp tajmaut ne gine ni u jednom ni u drugom slucaju, dok sve ostalo funkcionise sasvim normalno. I posto sam iscrpeo sve svoje ideje, resio sam da postavim pitanje ovde ....
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.verat.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: OpenBSD PF & pasivni FTP20.08.2002. u 17:14 - pre 222 meseci
Zdravo opet,

u pravu si, moj propust u vezi redosleda pravila. Nego druga stvar me interesuje. Da li ti je ne1 interfejs prema lokalnoj na kojoj vrsis nat, ili ti je to interfejs prema lokalnog mrezi ?
"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

nukeshack
nukeshack
/serbia

Član broj: 4232
Poruke: 26
*.yunord.net.

Jabber: nukeshack@jabber.com
Sajt: nukeshack.org


Profil

icon Re: OpenBSD PF & pasivni FTP21.08.2002. u 10:33 - pre 222 meseci
Na ne1 interfejsu nije konfigurisan nat, dakle to je interfejs prema lokalnoj mrezi.
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.verat.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: OpenBSD PF & pasivni FTP22.08.2002. u 01:11 - pre 222 meseci
Okej, nista onda ... stvarno mi ponestalo ideja. Zar su ti stvarno neophodni keep state pridevi za tako nesto ? Ipak, ftp je toliko "problematican" za prevodjenje, da su cak i linuxovci morali da pisu odvojene delove koda u kernelu da bi normalno radilo l;)

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

tOwk
Danilo Šegan
Zemun/Beograd

Član broj: 94
Poruke: 2743
*.beotel.net

ICQ: 9344053
Sajt: alas.matf.bg.ac.yu/~mm011..


+2 Profil

icon Re: OpenBSD PF & pasivni FTP22.08.2002. u 03:35 - pre 222 meseci
Zar je to moguće ostvariti bez ,,prisluškivanja'' FTP konekcije i sa ovako striktnim podešavanjima?

FTP je malo specifičan. Kada se zahteva rad pomoću njega, za svako slanje podataka se otvara novi komunikacioni kanal (čitaj port i na jednoj i na drugoj mašini, i to neprivilegovani, tj. >1023). Prema tome, računar koji je zapravo FTP server otvara novi ,,server'' za dotičnu konekciju i u jednom rezultujućem kodu FTP naredbe vraća na kom se portu on pokreće. Ovo je kada se koristi ,,aktivni FTP''.

Kada se koristi ,,pasivni FTP'', klijent postaje server (otvara novi port za tu svrhu), a FTP server se ponaša kao klijent.

Ukoliko, na primer, ne možeš da pokreneš neki web browser i povežeš se na neki HTTP server u lokalnoj mreži, onda neće raditi ni pasivni FTP.


Ovo ste sigurno znali, ali možda niste obratili pažnju na to. Naime, za aktivni FTP pogledaj kako si podesio ,,in'', a za pasivni ,,out''. Ono što je iznenađujuće je da si liberalniji po pitanju ,,in'' umesto po pitanju ,,out'' saobraćaja.

Verujem da je upravo to problem, pošto je pasivni FTP namenjen upravo konvencionalnom ponašanju, i obrnutim podešavanjima. Zbog toga, ono što mi se čini da bi moglo biti rešenje (ne koristim OpenBSD, pa nemam prilike da to proverim, a ni iskustva) je da dodaš ,,from any to any'' i za ,,out'' pošto samo pasivni FTP pravi probleme. Takođe, ako želiš da budeš restriktniji, bolje to izbaci iz ,,in'' podešavanja.

Za sve o FTP-u pogledajte ,,zbirku'' RFC dokumenata na http://www.faqs.org/rfcs/ftp-rfcs.html
Za detaljniju diskusiju o svemu ovome na
http://www.faqs.org/rfcs/rfc2428.html (FTP Extensions for IPv6 and NATs)
http://www.faqs.org/rfcs/rfc1579.html (Firewall-Friendly FTP)

TolikohS//www.suse.de/en/company/p
Možda se moje mišljenje promenilo, ali ne i činjenica da sam u pravu.
 
Odgovor na temu

nukeshack
nukeshack
/serbia

Član broj: 4232
Poruke: 26
*.yunord.net.

Jabber: nukeshack@jabber.com
Sajt: nukeshack.org


Profil

icon Re: OpenBSD PF & pasivni FTP22.08.2002. u 09:32 - pre 222 meseci
Zdravo svima,

Prvo da se zahvalim Bojanu i t0wku na pomoci, a kao drugo da obelodanim da sam uspeo da nadjem jedno resenje na osnovu teoretskog resenja t0wk-a :) i malo igranja sa pf.conf-om:

Code:

ExtIF = "ne1"
Services = "{ www, https, ftp, ftp-data, irc, smtp, pop3 }"
#
scrub in all
#
block in on $ExtIF all
pass in on $ExtIF inet proto { tcp, udp } from any to any port = domain keep state
pass in on $ExtIF inet proto tcp from any to any port $Services flags S/SA keep state
pass in on $ExtIF inet proto tcp from any to any port 1024 >< 65535
#
pass out quick on $ExtIF all

 
Odgovor na temu

[es] :: BSD :: OpenBSD PF & pasivni FTP

[ Pregleda: 5789 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.