[linux-l] ftp-upload-Firewallregeln
Jan-Benedict Glaw
jbglaw at lug-owl.de
Mo Jul 11 16:51:35 CEST 2005
On Thu, 2005-08-11 11:57:15 +0200, Ralf Baerwaldt <BAERWALD at de.ibm.com> wrote:
>
> > SSH2 wuensche ich mir fuer die Zukunft, in meinem LAN funkioniert
> > das, trotzdem
> > koennte ich auch hier einen Tipp fuer meine Firewall gebrauchen.
>
> Hallo Kai,
>
> also fuer dein FTP-Problem kann ich dir keinen Tipp geben.
> Ich nehme zumindest an, dass du Port 20+21 in beide Richtungen
> freigegeben hast. Dann sollte es meines Wissens nach auch
> funktionieren. Oder hast du die Zugriffe IP-maessig eingeschraenkt ?
FTP ist ein etwas "doof" designtes Protokoll. Es werden Verbindungen in
*beide* Richtungen aufgemacht; dabei wird innerhalb des Protokolls
uebermittelt, wohin die 2te Verbindung geoeffnet werden soll. Daher
reicht bei FTP eine einfache Paket-Firewall nicht aus, man braucht
Connection-Tracking dazu.
Man kann versuchen, den "passive mode" zu benutzen, das muessen dann
aber beide Seiten koennen.
>
> Zu ssh:
> Du musst Port 22 freischalten.
> Ich empfehle in /etc/ssh/sshd_config die Freigabe fuer Passwort-
> Authentication zu verbieten und nur mit dsa-keys zu arbeiten,
> die man durch eine Passphrase geschuetzt hat.
> Der Nachteil ist dann allerdings, dass man dann kein
> "ssh -l <other user> server" absetzen kann. Zumindest hat es
> bei mir nicht geklappt.
Dochdoch, das geht; es muss nur der oeffentliche Teil Deines keys in der
authorized_keys des _anderen_ Benutzers sein.
MfG, JBG
--
Jan-Benedict Glaw jbglaw at lug-owl.de . +49-172-7608481 _ O _
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg _ _ O
fuer einen Freien Staat voll Freier Bürger" | im Internet! | im Irak! O O O
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20050711/3b889feb/attachment.sig>
Mehr Informationen über die Mailingliste linux-l