[GTER] PF - FTP em DMZ
Gilberto Villani Brito
linux at giboia.org
Fri May 12 16:11:22 -03 2006
Olá Cristiano,
O ftp-proxy serve para que a rede interna com ip falso acesse outros ftps de modo ativo, mas para um ambiente DMZ, eu ACHO que
não utiliza ftp-proxy, por isso não estou usando, mas já tentei usar o ftp-proxy para esse problema e não deu certo, mas para
os meus clientes ele funcionou corretamente.
Abraços
Gilberto
On Fri, 12 May 2006 09:37:46 -0300
"Cristiano Maynart Pereira" <cpereira at unisc.br> wrote:
> Gilberto,
>
> Você deve estar utilizando o ftp-proxy, correto?
>
> Para setar as regras corretas para o ftp-proxy funcionar no modo passivo, aconselho você utilizar o man do ftp-proxy (man ftp-proxy) que mostra as regras para a versão que você está utilizando, pois muda um pouco para cada uma. Nesta página que você enviou, é utilizado pelas versões mais antigas do ftp-proxy.
>
> Por exemplo, se tiver utilizando a última versão, o pf.conf ficaria assim:
>
> In the NAT section:
>
> nat-anchor "ftp-proxy/*"
> rdr-anchor "ftp-proxy/*"
> rdr pass on $int_if proto tcp from $lan to any port 21 -> \
> 127.0.0.1 port 8021
>
> In the rule section:
>
> anchor "ftp-proxy/*"
> pass out proto tcp from $proxy to any port 21 keep state
>
> Nesta última regra, o $proxy é o endereço da sua interface externa.
>
>
> ______________________________
> Cristiano Maynart Pereira
> cpereira at unisc.br
>
>
>
> > -----Original Message-----
> > From: gter-bounces at eng.registro.br
> > [mailto:gter-bounces at eng.registro.br] On Behalf Of Gilberto
> > Villani Brito
> > Sent: sexta-feira, 12 de maio de 2006 9:13
> > To: security at onda.com.br; Grupo de Trabalho de Engenharia e
> > Operacao de Redes
> > Subject: Re: [GTER] PF - FTP em DMZ
> >
> > Esta tudo correto, acho que é algo no nat do PF.
> >
> > Abraços
> > Gilberto
> >
> >
> > On Thu, 11 May 2006 18:26:07 -0300
> > Anderson Nadal <security at onda.com.br> wrote:
> >
> > > -----BEGIN PGP SIGNED MESSAGE-----
> > > Hash: SHA1
> > >
> > > Veja a configuração do seu servidor FTP se você tem como
> > habilitar a
> > > utilização das portas 49152:65534 para modo passivo.
> > > Se for o Proftpd user a diretiva PassivePorts 49152:65534.
> > >
> > > []'s
> > > Nadal
> > >
> > >
> > >
> > > Gilberto Villani Brito escreveu:
> > > > Tenho um servidor ftp em DMZ. Não estou conseguindo aceitar
> > > > transferências de modo passivo, somente ativo. Segui
> > todas as regras
> > > > do seguinte endereço:
> > > > http://www.openbsd.org/faq/pf/pt/ftp.html#natserver
> > > >
> > > > Alguém sabe se é possível fazer meu servidor ftp aceitar modo
> > > > passivo usando PF?? E como fazer isso??
> > > >
> > > > Eu testei ipfw + natd e tudo funcionou perfeitamente, mas eu
> > > > gostaria de usar somente PF.
> > > >
> > > > Abraços Gilberto -- gter list
> > > > https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > > - --
> > > +-------------------------------------------------------+
> > > | Anderson Nadal <nadal at ondacorp.com.br> - RHCE |
> > > | Coordenador Tecnico |
> > > | Fone: + 55 41 3331 8200 |
> > > | FAX: + 55 41 3331 8256 |
> > > | OndaRPC |
> > > | www.ondarpc.com.br |
> > > | Registered Linux User: 56841 |
> > > | PGP KEY: www.keyserver.net KEY ID 6ABB668D |
> > > | M.O.V.I |
> > > +-------------------------------------------------------+
> > > -----BEGIN PGP SIGNATURE-----
> > > Version: GnuPG v1.4.3 (GNU/Linux)
> > > Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
> > >
> > > iD8DBQFEY6vtLQAusHT90XQRAirMAKCdQSHSUjOHkWZjd9SrNz11dKiSdwCeMmqy
> > > EppAr3suiQO5mMoqrJ+a9G8=
> > > =imOg
> > > -----END PGP SIGNATURE-----
> > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list