Sikkerhets med NGT

[enden]

Det må være like greit å åpne alt i gatewayen inn til ruteren din. Skal ikke komme med noen påstander om hvem som gir best sikkerhet av de to, men for enkelhetsskyld så bør passtrough være greiest, så kan du administere alt fra ruteren.

[ddebono]

Kolbjorn: Se mitt tidligere innlegg der jeg har laget en link til IP-passthrough på Netopia

[kolbjorn]

Takker for innspill fra Torbjørn, enden og ddebono!

 

Et lite spørsmål til: Jeg satt opp en ftp-tjener på mitt DMZ segment og konfigurerte min brannmur (OpenBSD+pf) og netopia-boksen til at aktiv ftp tillates utenfra.

Men da mine windows-brukende venner skulle bruke ftp-tjenesten min, virket det ikke som det skulle. Det viste seg (såvidt jeg forstår) at mange at de mest populære ftp-klientene for windows kun støtter passiv ftp.

Jeg kan ikke helt se hvordan jeg kan sette opp brannmurene til å støtte både aktiv og passiv ftp uten at disse er i konflikt med hverandre pga. ulike port-bruk. Hva verre er, jeg ser heller ikke helt at rekonfigurering til kun én NATing og én brannmur vil gjøre det noe enklere.

 

Så det jeg lurer på er: Er det vanlig for ftp-servere rundt om kring å kun støtte passiv mode? Har noen erfaring med å støtte både aktiv og passiv ftp gjennom en brannmur (eller to) med NAT?

[Torbjørn]

Tro det eller ei, men det er dine venners problem, med deres respektive nat-rutere

 

problemer er at active ftp initierer en forbindelse andre veien, og denne kommer aldri gjennom nat-ruteren til dine venner.

 

prøv selv fra en global ip eller fra en gammel telenor-adsl ip (før de begynte med natrutere) så vil du se at du kommer glatt inn

 

EDIT: I linuxrutere har man en modul "ip_nat_ftp" som tar seg av dette. Hvordan det gjøres i freebsd aner jeg ikke. Diverse lettvekter natrutere rundt omkring har muligens ikke støtte for dette i det hele tatt

Endret 8. august 2005 av Torbjørn

[Zenit]

De er akkurat som Torbjørn sier, det er først og fremst et problem på klientsiden p.g.a. måten ftp fungerer på. De som kobler seg opp mot deg må da enten ikke sitte bak en brannvegg el. NAT som gjør en aktiv ftp oppkobling vanskelig, eller brannmuren nat-løsningen må ha en ftp-proxy. Så hvis du vil bruke aktiv ftp kan du bruke ftp-proxyen som er en del av PF. http://www.openbsd.org/faq/pf/ftp.html#client Jeg bruker til vanlig FreeBSD med ipfilter/ipnat som også har en slik proxy.

 

Men hvis dine venner med NAT-rutere skal koble seg opp til ftp'en din i aktiv modus, da må altså nat-ruteren ha en slik proxy. Selv om ruteren har en slik proxy forutsetter det også at det ikke er en annen brannvegg i mellom da denne kan lett sperre porter som en slik proxy vil forwarde.

 

Jeg tror at det beste du kan gjøre er å sette opp ftp-serveren for passiv modus. Med litt flaks kan du bestemme hvilke porter serveren skal bruke i passive modus og da vet du også hvilke porter du eventuelt må forwarde i dine x-antall NAT-rutere og brannmurer