[GTER] PF - FTP em DMZ

Gilberto Villani Brito linux at giboia.org
Fri May 12 16:11:22 -03 2006


Olá Cristiano,
O ftp-proxy serve para que a rede interna com ip falso acesse outros ftps de modo ativo, mas para um ambiente DMZ, eu ACHO que
não utiliza ftp-proxy, por isso não estou usando, mas já tentei usar o ftp-proxy para esse problema e não deu certo, mas para
os meus clientes ele funcionou corretamente.


Abraços
Gilberto




On Fri, 12 May 2006 09:37:46 -0300
"Cristiano Maynart Pereira" <cpereira at unisc.br> wrote:

> Gilberto,
> 
> 	Você deve estar utilizando o ftp-proxy, correto?
> 
> 	Para setar as regras corretas para o ftp-proxy funcionar no modo passivo, aconselho você utilizar o man do ftp-proxy (man ftp-proxy) que mostra as regras para a versão que você está utilizando, pois muda um pouco para cada uma. Nesta página que você enviou, é utilizado pelas versões mais antigas do ftp-proxy.
> 
> Por exemplo, se tiver utilizando a última versão, o pf.conf ficaria assim:
> 
>  In the NAT section:
> 
>        nat-anchor "ftp-proxy/*"
>        rdr-anchor "ftp-proxy/*"
>        rdr pass on $int_if proto tcp from $lan to any port 21 -> \
>            127.0.0.1 port 8021
> 
>  In the rule section:
> 
>        anchor "ftp-proxy/*"
>        pass out proto tcp from $proxy to any port 21 keep state 
> 
> Nesta última regra, o $proxy é o endereço da sua interface externa.
> 
> 
> ______________________________
> Cristiano Maynart Pereira
> cpereira at unisc.br
>  
>   
> 
> > -----Original Message-----
> > From: gter-bounces at eng.registro.br 
> > [mailto:gter-bounces at eng.registro.br] On Behalf Of Gilberto 
> > Villani Brito
> > Sent: sexta-feira, 12 de maio de 2006 9:13
> > To: security at onda.com.br; Grupo de Trabalho de Engenharia e 
> > Operacao de Redes
> > Subject: Re: [GTER] PF - FTP em DMZ
> > 
> > Esta tudo correto, acho que é algo no nat do PF.
> > 
> > Abraços
> > Gilberto
> > 
> > 
> > On Thu, 11 May 2006 18:26:07 -0300
> > Anderson Nadal <security at onda.com.br> wrote:
> > 
> > > -----BEGIN PGP SIGNED MESSAGE-----
> > > Hash: SHA1
> > > 
> > > Veja a configuração do seu servidor FTP se você tem como 
> > habilitar a 
> > > utilização das portas 49152:65534 para modo passivo.
> > > Se for o Proftpd user a diretiva PassivePorts       49152:65534.
> > > 
> > > []'s
> > > Nadal
> > >  
> > > 
> > > 
> > > Gilberto Villani Brito escreveu:
> > > > Tenho um servidor ftp em DMZ. Não estou conseguindo aceitar 
> > > > transferências de modo passivo, somente ativo. Segui 
> > todas as regras 
> > > > do seguinte endereço:
> > > > http://www.openbsd.org/faq/pf/pt/ftp.html#natserver
> > > >
> > > > Alguém sabe se é possível fazer meu servidor ftp aceitar modo 
> > > > passivo usando PF?? E como fazer isso??
> > > >
> > > > Eu testei ipfw + natd e tudo funcionou perfeitamente, mas eu 
> > > > gostaria de usar somente PF.
> > > >
> > > > Abraços Gilberto -- gter list
> > > > https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > 
> > > - --
> > > +-------------------------------------------------------+
> > > |     Anderson Nadal <nadal at ondacorp.com.br> - RHCE     |
> > > |                Coordenador Tecnico                    |
> > > |          Fone: + 55 41 3331 8200                      |
> > > |          FAX:     + 55 41 3331 8256                      |
> > > |                     OndaRPC                           |
> > > |               www.ondarpc.com.br                      |
> > > |            Registered Linux User: 56841               |
> > > |     PGP KEY: www.keyserver.net KEY ID 6ABB668D        |
> > > |                     M.O.V.I                           |
> > > +-------------------------------------------------------+
> > > -----BEGIN PGP SIGNATURE-----
> > > Version: GnuPG v1.4.3 (GNU/Linux)
> > > Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
> > > 
> > > iD8DBQFEY6vtLQAusHT90XQRAirMAKCdQSHSUjOHkWZjd9SrNz11dKiSdwCeMmqy
> > > EppAr3suiQO5mMoqrJ+a9G8=
> > > =imOg
> > > -----END PGP SIGNATURE-----
> > > 
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > 
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 



More information about the gter mailing list