---

Hej!

Hvis man nu bruger pakke-filtrering i sin firewall-applikation (hvem
gør ikke det), hvad skal der så åbnes for af porte for at
internet-brugere kan lave FTP til en server bag firewall'en ??

Internet ---(router m. NAT) --- Firewall/filter ----- FTP Server

Jeg har i firewall'en lavet portforwarding af port 20+21 til FTP
serveren samt åbnet port 20+21 for trafik. At "browse" på serveren er
ikke et problem, men hvis en bruger ønsker at downloade en fil får jeg
entries i min filter-log:

Drop packet in TCP: xx.yy.zz.ww:6080 -> 192.168.1.2:62757

Der er tale om en Pro@ccess løsning, hvor alt indgående trafik
forwardes til 192.168.1.2 - derfor den lidt mystiske adresse...

Hvordan får jeg åbnet for transfer's - men ikke blotlagt alt, hvad
der sidder efter firewall'en/filteret ??

/Brian

---

Brian Ipsen <Spammers@blow.me> wrote:
> Hvis man nu bruger pakke-filtrering i sin firewall-applikation (hvem
>gør ikke det), hvad skal der så åbnes for af porte for at
>internet-brugere kan lave FTP til en server bag firewall'en ??

Du skal tage hoejde for aktiv versus passive FTP. Aktiv forbinder serveren
sig tilbage til clienten, hvilket ikke virker hvis clienten sidder bag noget
IP filter, og ved passive forbinder clienten sig til en port paa serveren,
hvilket ikke virker hvis serveren sidder bag noget IP filter.

FTP er en $BANDEORD protokol. Lad vaere med at bruge den. Tilbyd istedet
http og rsync til dine brugere.

>Drop packet in TCP: xx.yy.zz.ww:6080 -> 192.168.1.2:62757

Clienten forsoeger at snakke passive. For at det virker skal du tillade
hoeje random ports over et bestemt tal som afhaenger af din ftpd. Disse
porte skal forwardes fra .1.2 til den rette maskine paa dit netvaerk.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/