[GTER] PF - FTP em DMZ
Cristiano Maynart Pereira
cpereira at unisc.br
Fri May 12 16:18:41 -03 2006
Gilberto,
No PF você precisa utilizar um proxy de ftp de qualquer jeito, a não ser que o servidor FTP seja o próprio firewall. No caso de um servidor FTP em modo passivo atrás do firewall é mais aconselhado a utilização do ftpsesame, você pode instalá-lo pelo ports: /usr/ports/net/ftpsesame
man ftpsesame
NAT ISSUES
To enable passive mode connections from clients subject to NAT, ftpsesame
must listen on the interface where the NAT has already taken place, typi-
cally the external interface. Otherwise ftpsesame cannot add the extra
rule with the real client address. Note that this does not have to be a
problem, if there are other rules taking care of that.
Active mode connections from clients subject to NAT are not supported,
because it requires commands inside the control connection to be rewrit-
ten. ftp-proxy(8) can be used for that purpose.
No man também tem os exemplos para fazê-lo funcionar, bem simples.
______________________________
Cristiano Maynart Pereira
cpereira at unisc.br
> -----Original Message-----
> From: gter-bounces at eng.registro.br
> [mailto:gter-bounces at eng.registro.br] On Behalf Of Gilberto
> Villani Brito
> Sent: sexta-feira, 12 de maio de 2006 4:11
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> Subject: Re: [GTER] PF - FTP em DMZ
>
> Olá Cristiano,
> O ftp-proxy serve para que a rede interna com ip falso acesse
> outros ftps de modo ativo, mas para um ambiente DMZ, eu ACHO
> que não utiliza ftp-proxy, por isso não estou usando, mas já
> tentei usar o ftp-proxy para esse problema e não deu certo,
> mas para os meus clientes ele funcionou corretamente.
>
>
> Abraços
> Gilberto
>
>
>
>
> On Fri, 12 May 2006 09:37:46 -0300
> "Cristiano Maynart Pereira" <cpereira at unisc.br> wrote:
>
> > Gilberto,
> >
> > Você deve estar utilizando o ftp-proxy, correto?
> >
> > Para setar as regras corretas para o ftp-proxy
> funcionar no modo passivo, aconselho você utilizar o man do
> ftp-proxy (man ftp-proxy) que mostra as regras para a versão
> que você está utilizando, pois muda um pouco para cada uma.
> Nesta página que você enviou, é utilizado pelas versões mais
> antigas do ftp-proxy.
> >
> > Por exemplo, se tiver utilizando a última versão, o pf.conf
> ficaria assim:
> >
> > In the NAT section:
> >
> > nat-anchor "ftp-proxy/*"
> > rdr-anchor "ftp-proxy/*"
> > rdr pass on $int_if proto tcp from $lan to any port 21 -> \
> > 127.0.0.1 port 8021
> >
> > In the rule section:
> >
> > anchor "ftp-proxy/*"
> > pass out proto tcp from $proxy to any port 21 keep state
> >
> > Nesta última regra, o $proxy é o endereço da sua interface externa.
> >
> >
> > ______________________________
> > Cristiano Maynart Pereira
> > cpereira at unisc.br
> >
> >
> >
> > > -----Original Message-----
> > > From: gter-bounces at eng.registro.br
> > > [mailto:gter-bounces at eng.registro.br] On Behalf Of
> Gilberto Villani
> > > Brito
> > > Sent: sexta-feira, 12 de maio de 2006 9:13
> > > To: security at onda.com.br; Grupo de Trabalho de Engenharia
> e Operacao
> > > de Redes
> > > Subject: Re: [GTER] PF - FTP em DMZ
> > >
> > > Esta tudo correto, acho que é algo no nat do PF.
> > >
> > > Abraços
> > > Gilberto
> > >
> > >
> > > On Thu, 11 May 2006 18:26:07 -0300
> > > Anderson Nadal <security at onda.com.br> wrote:
> > >
> > > > -----BEGIN PGP SIGNED MESSAGE-----
> > > > Hash: SHA1
> > > >
> > > > Veja a configuração do seu servidor FTP se você tem como
> > > habilitar a
> > > > utilização das portas 49152:65534 para modo passivo.
> > > > Se for o Proftpd user a diretiva PassivePorts 49152:65534.
> > > >
> > > > []'s
> > > > Nadal
> > > >
> > > >
> > > >
> > > > Gilberto Villani Brito escreveu:
> > > > > Tenho um servidor ftp em DMZ. Não estou conseguindo aceitar
> > > > > transferências de modo passivo, somente ativo. Segui
> > > todas as regras
> > > > > do seguinte endereço:
> > > > > http://www.openbsd.org/faq/pf/pt/ftp.html#natserver
> > > > >
> > > > > Alguém sabe se é possível fazer meu servidor ftp aceitar modo
> > > > > passivo usando PF?? E como fazer isso??
> > > > >
> > > > > Eu testei ipfw + natd e tudo funcionou perfeitamente, mas eu
> > > > > gostaria de usar somente PF.
> > > > >
> > > > > Abraços Gilberto -- gter list
> > > > > https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > > - --
> > > > +-------------------------------------------------------+
> > > > | Anderson Nadal <nadal at ondacorp.com.br> - RHCE |
> > > > | Coordenador Tecnico |
> > > > | Fone: + 55 41 3331 8200 |
> > > > | FAX: + 55 41 3331 8256 |
> > > > | OndaRPC |
> > > > | www.ondarpc.com.br |
> > > > | Registered Linux User: 56841 |
> > > > | PGP KEY: www.keyserver.net KEY ID 6ABB668D |
> > > > | M.O.V.I |
> > > > +-------------------------------------------------------+
> > > > -----BEGIN PGP SIGNATURE-----
> > > > Version: GnuPG v1.4.3 (GNU/Linux)
> > > > Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
> > > >
> > > > iD8DBQFEY6vtLQAusHT90XQRAirMAKCdQSHSUjOHkWZjd9SrNz11dKiSdwCeMmqy
> > > > EppAr3suiQO5mMoqrJ+a9G8=
> > > > =imOg
> > > > -----END PGP SIGNATURE-----
> > > >
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list