[GTER] PF - FTP em DMZ

Cristiano Maynart Pereira cpereira at unisc.br
Fri May 12 16:18:41 -03 2006 

Gilberto,

	No PF você precisa utilizar um proxy de ftp de qualquer jeito, a não ser que o servidor FTP seja o próprio firewall. No caso de um servidor FTP em modo passivo atrás do firewall é mais aconselhado a utilização do ftpsesame, você pode instalá-lo pelo ports: /usr/ports/net/ftpsesame

man ftpsesame

NAT ISSUES
     To enable passive mode connections from clients subject to NAT, ftpsesame
     must listen on the interface where the NAT has already taken place, typi-
     cally the external interface.  Otherwise ftpsesame cannot add the extra
     rule with the real client address.  Note that this does not have to be a
     problem, if there are other rules taking care of that.

     Active mode connections from clients subject to NAT are not supported,
     because it requires commands inside the control connection to be rewrit-
     ten.  ftp-proxy(8) can be used for that purpose.

No man também tem os exemplos para fazê-lo funcionar, bem simples.

______________________________
Cristiano Maynart Pereira
cpereira at unisc.br
 
  

> -----Original Message-----
> From: gter-bounces at eng.registro.br 
> [mailto:gter-bounces at eng.registro.br] On Behalf Of Gilberto 
> Villani Brito
> Sent: sexta-feira, 12 de maio de 2006 4:11
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> Subject: Re: [GTER] PF - FTP em DMZ
> 
> Olá Cristiano,
> O ftp-proxy serve para que a rede interna com ip falso acesse 
> outros ftps de modo ativo, mas para um ambiente DMZ, eu ACHO 
> que não utiliza ftp-proxy, por isso não estou usando, mas já 
> tentei usar o ftp-proxy para esse problema e não deu certo, 
> mas para os meus clientes ele funcionou corretamente.
> 
> 
> Abraços
> Gilberto
> 
> 
> 
> 
> On Fri, 12 May 2006 09:37:46 -0300
> "Cristiano Maynart Pereira" <cpereira at unisc.br> wrote:
> 
> > Gilberto,
> > 
> > 	Você deve estar utilizando o ftp-proxy, correto?
> > 
> > 	Para setar as regras corretas para o ftp-proxy 
> funcionar no modo passivo, aconselho você utilizar o man do 
> ftp-proxy (man ftp-proxy) que mostra as regras para a versão 
> que você está utilizando, pois muda um pouco para cada uma. 
> Nesta página que você enviou, é utilizado pelas versões mais 
> antigas do ftp-proxy.
> > 
> > Por exemplo, se tiver utilizando a última versão, o pf.conf 
> ficaria assim:
> > 
> >  In the NAT section:
> > 
> >        nat-anchor "ftp-proxy/*"
> >        rdr-anchor "ftp-proxy/*"
> >        rdr pass on $int_if proto tcp from $lan to any port 21 -> \
> >            127.0.0.1 port 8021
> > 
> >  In the rule section:
> > 
> >        anchor "ftp-proxy/*"
> >        pass out proto tcp from $proxy to any port 21 keep state
> > 
> > Nesta última regra, o $proxy é o endereço da sua interface externa.
> > 
> > 
> > ______________________________
> > Cristiano Maynart Pereira
> > cpereira at unisc.br
> >  
> >   
> > 
> > > -----Original Message-----
> > > From: gter-bounces at eng.registro.br
> > > [mailto:gter-bounces at eng.registro.br] On Behalf Of 
> Gilberto Villani 
> > > Brito
> > > Sent: sexta-feira, 12 de maio de 2006 9:13
> > > To: security at onda.com.br; Grupo de Trabalho de Engenharia 
> e Operacao 
> > > de Redes
> > > Subject: Re: [GTER] PF - FTP em DMZ
> > > 
> > > Esta tudo correto, acho que é algo no nat do PF.
> > > 
> > > Abraços
> > > Gilberto
> > > 
> > > 
> > > On Thu, 11 May 2006 18:26:07 -0300
> > > Anderson Nadal <security at onda.com.br> wrote:
> > > 
> > > > -----BEGIN PGP SIGNED MESSAGE-----
> > > > Hash: SHA1
> > > > 
> > > > Veja a configuração do seu servidor FTP se você tem como
> > > habilitar a
> > > > utilização das portas 49152:65534 para modo passivo.
> > > > Se for o Proftpd user a diretiva PassivePorts       49152:65534.
> > > > 
> > > > []'s
> > > > Nadal
> > > >  
> > > > 
> > > > 
> > > > Gilberto Villani Brito escreveu:
> > > > > Tenho um servidor ftp em DMZ. Não estou conseguindo aceitar 
> > > > > transferências de modo passivo, somente ativo. Segui
> > > todas as regras
> > > > > do seguinte endereço:
> > > > > http://www.openbsd.org/faq/pf/pt/ftp.html#natserver
> > > > >
> > > > > Alguém sabe se é possível fazer meu servidor ftp aceitar modo 
> > > > > passivo usando PF?? E como fazer isso??
> > > > >
> > > > > Eu testei ipfw + natd e tudo funcionou perfeitamente, mas eu 
> > > > > gostaria de usar somente PF.
> > > > >
> > > > > Abraços Gilberto -- gter list
> > > > > https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > 
> > > > - --
> > > > +-------------------------------------------------------+
> > > > |     Anderson Nadal <nadal at ondacorp.com.br> - RHCE     |
> > > > |                Coordenador Tecnico                    |
> > > > |          Fone: + 55 41 3331 8200                      |
> > > > |          FAX:     + 55 41 3331 8256                      |
> > > > |                     OndaRPC                           |
> > > > |               www.ondarpc.com.br                      |
> > > > |            Registered Linux User: 56841               |
> > > > |     PGP KEY: www.keyserver.net KEY ID 6ABB668D        |
> > > > |                     M.O.V.I                           |
> > > > +-------------------------------------------------------+
> > > > -----BEGIN PGP SIGNATURE-----
> > > > Version: GnuPG v1.4.3 (GNU/Linux)
> > > > Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
> > > > 
> > > > iD8DBQFEY6vtLQAusHT90XQRAirMAKCdQSHSUjOHkWZjd9SrNz11dKiSdwCeMmqy
> > > > EppAr3suiQO5mMoqrJ+a9G8=
> > > > =imOg
> > > > -----END PGP SIGNATURE-----
> > > > 
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > 
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > 
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list