[linux-l] ftp-upload-Firewallregeln

Jan-Benedict Glaw jbglaw at lug-owl.de
Mo Jul 11 16:51:35 CEST 2005 

On Thu, 2005-08-11 11:57:15 +0200, Ralf Baerwaldt <BAERWALD at de.ibm.com> wrote:
> 
> >  SSH2 wuensche ich mir fuer die Zukunft, in meinem LAN funkioniert
> > das, trotzdem
> > koennte ich auch hier einen Tipp fuer meine Firewall gebrauchen.
> 
> Hallo Kai,
> 
> also fuer dein FTP-Problem kann ich dir keinen Tipp geben.
> Ich nehme zumindest an, dass du Port 20+21 in beide Richtungen
> freigegeben hast. Dann sollte es meines Wissens nach auch
> funktionieren. Oder hast du die Zugriffe IP-maessig eingeschraenkt ?

FTP ist ein etwas "doof" designtes Protokoll. Es werden Verbindungen in
*beide* Richtungen aufgemacht; dabei wird innerhalb des Protokolls
uebermittelt, wohin die 2te Verbindung geoeffnet werden soll. Daher
reicht bei FTP eine einfache Paket-Firewall nicht aus, man braucht
Connection-Tracking dazu.

Man kann versuchen, den "passive mode" zu benutzen, das muessen dann
aber beide Seiten koennen.

> 
> Zu ssh:
> Du musst Port 22 freischalten.
> Ich empfehle in /etc/ssh/sshd_config die Freigabe fuer Passwort-
> Authentication zu verbieten und nur mit dsa-keys zu arbeiten,
> die man durch eine Passphrase geschuetzt hat.
> Der Nachteil ist dann allerdings, dass man dann kein
> "ssh -l <other user> server" absetzen kann. Zumindest hat es
> bei mir nicht geklappt.

Dochdoch, das geht; es muss nur der oeffentliche Teil Deines keys in der
authorized_keys des _anderen_ Benutzers sein.

MfG, JBG

-- 
Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481             _ O _
"Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg  _ _ O
 fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!   O O O
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20050711/3b889feb/attachment.sig>

Mehr Informationen über die Mailingliste linux-l