linux-l: FTP filtern und FTP aufsetzen
Mario Thaten
mario at thaten.in-berlin.de
Mo Apr 17 02:01:13 CEST 2000
Reply to mail by Henrik Hempelmann of Sun, 16 Apr 2000 12:43:00 +0200:
>> 1) Ich möchte einen FTP-Server aufsetzen. Schwerpunkte liegen auf
>> Sicherheit und Arbeitsverhalten unter großer Netzlast. Wenn
>> machbar, sollte die Konfiguration nicht zu aufwändig sein. Ich wäre
>> sehr dankbar, wenn Ihr ein paar gute Vorschläge machen könntet (am
>> besten zu einem, der in Debian 2.2 enthaltenen FTP-Server).
>
> Wie hoch ist die Netzlast? 10Mbit, 100Mbit, 1000GBit?
> Fuer normale Zwecke bevorzuge ich den proftpd, zu konfigurieren
> in der Syntax des Apache.
Danke, dann werd ich den mal ausprobieren.
>> 2) Ich habe auf einer Firewall einen Paketfilter (ipchains) zu
>> laufen, der alles ablehnt und nur einzelne Services zuläßt. Beim
>> Zulassen von FTP bin ich auf ein Problem gestoßen. Das reine
>> Zulassen der Ports 20 und 21 reicht nicht. Wenn ich auf dem
>> FTP-Server einen LIST-Befehl ausführe, erfolgt laut tcpdump eine
>> Kommunikation von einem zufällig generierten Port auf dem FTP-Server
>> > 1024 auf meinen Source-Port. Da ich diesen Port (beim FTP-Server)
>> natürlich nicht freischalten kann, da ich ihn nicht kenne, ist FTP
>> mit meiner Firewall-Konfiguration nicht möglich. Ein Inserting des
>> ip_masq_ftp-Moduls hat erwartungsgemäß nicht geholfen. Kennt jemand
>> eine Lösung für das Problem?
>
> Wenn die Clients entsprechendes Wissen mitbringen, dann nimm'
> passive mode - trivial zu testen per Netscape ftp://....
Die Wahl der Clients liegt nicht bei mir. Es soll einfach generell
ftp möglich sein. Dieses Problem muß sich doch lösen lassen. Die
Beispiele im IPCHAINS-Howto und der Anleitung aus C'T 17/99
berücksichtigen das leider nicht, so daß man damit ins Leere läuft.
Und wenn ich alle Ports größer 1024 für Connects von außen
freischalte hat sich's was mit Firewall...
Hat jemand ne bahnbrechende Idee?
Danke, Mario
--
.~. Mario Thaten (mario at thaten.de)
/V\
/( )\ "There are just 2 rules in life:
^ ^ Always be yourself, but never mind to change."
Mehr Informationen über die Mailingliste linux-l