sslug-teknik team mailing list archive

[storner@xxxxxxxx]

In <7h9po5$opn$1@xxxxxxxxxxxx> "Mads" <gameover@xxxxxxxxxx> writes:

>Jeg har sat min linuxbox op som firewall for mit lille netværk af
>win-pc'ere. Jeg har gjort det med linjerne;

>ipfwadm -F -f
>ipfwadm -F -p deny
>ipfwadm -F -a m -S 192.168.1.2/24 -D 0.0.0.0/0

>Det betyder dog at jeg ikke kan få ftp-klienter på mine windåser til at
>virke. Hvordan 'åbner' jeg for ftp porten? Eller om muligt; hvordan gør jeg
>brugen af ftp mulig, men beholder noget af sikkerheden?

ftp er en lidt speciel protokol. Den bruger to forbindelser - en som ftp-
klienten etablerer (kaldet "control-connection"), og en anden som ftp-
serveren etablerer ("data-connection"). Når du beder om at hente en fil, 
så etablerer ftp-serveren en forbindelse til din maskine, og sender så 
filen via den. Det betyder, at dine firewall-regler skal tillade
indgående forbindelser fra ftp-serveren til klienter "indenfor".

Siden du bruger masquerading, så klares det vist nok ved at loade
ip_masq_ftp kerne-modulet. Jeg ved dog ikke, om der også skal laves
ekstra firewall-regler.

Alternativt kan du - hvis din ftp-klient tillader det - bruge "passive
mode", også kaldet "pasv".

www.seifried.org har for øvrigt en grundig diskussion af sikkerhed på
Linux - og især Red Hat - systemer, bl.a. med eksempler på brug af
firewall-funktionen i Linux kernen.

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."