/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
2 FTP server på 2 forskellige porte ....ka~
Fra : MLN


Dato : 01-07-04 11:38

Hej gruppe

Jeg vil gerne have 2 FTP serverer bag min router på 2 forskellige maskiner.
Jeg har lavet den ene til at lytte på port 21 og den anden på port 27015.
Jeg har lavet NAT entrys i min router, der er ingen firewall slået til, men
det er kun den på port 21 der virker.
Det fungere på LAN siden.

Er der nogen der kan forklare hvad det kan være der går galt ???

MVH
Martin Lynge



 
 
Niels Dybdahl (01-07-2004)
Kommentar
Fra : Niels Dybdahl


Dato : 01-07-04 11:47

> Jeg vil gerne have 2 FTP serverer bag min router på 2 forskellige
maskiner.
> Jeg har lavet den ene til at lytte på port 21 og den anden på port 27015.
> Jeg har lavet NAT entrys i min router, der er ingen firewall slået til,
men
> det er kun den på port 21 der virker.
> Det fungere på LAN siden.

Hvis du kun har åbnet port 21 udefra, så kan der da kun være åbent til en af
FTP-serverne.
Prøv at åbne en ekstra port til den anden server.

Niels Dybdahl



MLN (01-07-2004)
Kommentar
Fra : MLN


Dato : 01-07-04 11:51

Jeg har naturligvis åbnet for port 21 og peget på den ene maskine og for
port 27015 og peget på den anden maskine

/MLN



Michael Rasmussen (01-07-2004)
Kommentar
Fra : Michael Rasmussen


Dato : 01-07-04 11:58

"MLN" <martin@mln.dk> wrote:

>Jeg har naturligvis åbnet for port 21 og peget på den ene maskine og for
>port 27015 og peget på den anden maskine

Jeg er ikke ekspert på ftp, men mener den anvender 2 porte - port 20 til data og port 21 til control.

<mlr>


FreeAgent (02-07-2004)
Kommentar
Fra : FreeAgent


Dato : 02-07-04 20:41

jo det er rigtigt *s* .....

....er det ikke det man bruger "Passive Mode" til ..... så FTP clienter
"kun" bruger port 21 til "det hele" ..... eller er det mig som husker
forkert..... ( er lang tid siden jeg har "pillet" i det)

RaZoR



On Thu, 01 Jul 2004 12:58:27 +0200, Michael Rasmussen
<mic@NO_SPAMdou.dk> wrote:

>"MLN" <martin@mln.dk> wrote:
>
>>Jeg har naturligvis åbnet for port 21 og peget på den ene maskine og for
>>port 27015 og peget på den anden maskine
>
>Jeg er ikke ekspert på ftp, men mener den anvender 2 porte - port 20 til data og port 21 til control.
>
><mlr>


Morten Davidsen (01-07-2004)
Kommentar
Fra : Morten Davidsen


Dato : 01-07-04 12:15

"MLN" <martin@mln.dk> skrev i en meddelelse
news:P0SEc.20264$Vf.1108206@news000.worldonline.dk...
> Jeg har naturligvis åbnet for port 21 og peget på den ene maskine og for
> port 27015 og peget på den anden maskine
For den anden maskine peget port 27015 på WAN-siden så til 27015 på
LAN-siden? eller port 21 på LAN-siden? ... det er nok her dit problem
opstår. Du skal i dit FTP-server program sætte det op til at køre på port
27015 ...

/MD



Glenn Møller-Holst (01-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 01-07-04 17:38

MLN wrote:

> Hej gruppe
>
> Jeg vil gerne have 2 FTP serverer bag min router på 2 forskellige maskiner.
> Jeg har lavet den ene til at lytte på port 21 og den anden på port 27015.
> Jeg har lavet NAT entrys i min router, der er ingen firewall slået til, men
> det er kun den på port 21 der virker.
> Det fungere på LAN siden.
>
> Er der nogen der kan forklare hvad det kan være der går galt ???
>
> MVH
> Martin Lynge
>
>

Hej Martin

Hold dig fra ftp - anvend i stedet tcp bårne services. Her er grundene:

FTP Attacks.
By Kurt Seifried (seifried@securityportal.com) for SecurityPortal:
http://www.developer.com/tech/article.php/774121
Citat: "...
PASV Versus ACTIVE
....
With active ftp, the client specifies to the server how the transfer
will be done...the primary one being the firewalls must allow incoming
connections from port 20 to a large selection of ports on internal
machines. This allows attackers to easily scan internal machines by
initiating connections from port 20.
....
With passive mode ftp the client asks the server for a file and the
server specifies how the transfer will be done.
....
This allows you to steal files without having to know usernames,
passwords or any other details, and can be done randomly with a good
chance of success. Unfortunately there is nothing the clients can do to
protect themselves: the process is reliant on the server to protect data
transfers.
....
Other Attacks
Probably the most popular FTP attack in the past was the FTP "bounce"
attack. By misusing the PORT command, an attacker could use an ftp
server to connect to other machines. This allows for all sorts of
malicious activity from simple port scanning to moving files around.
....
H D Moore:        To be plain, FTP sucks.
...."

-

Flere problemer:

(1) Hvis man vælger at anvende ftp, skal alle klienter sættes op til at
anvende "passive mode".

(2) Normalt ftp-intervenerer firewalls (Cisco pix: "fixup...ftp") eller
routere - med NAT - kun port 20-21 (ftp), men anvendes du andre end
disse IP-porte, kan netudstyret ikke intervenere og så er alle dine
potentielle NAT-brugere tabt, medmindre måske kan få ændret alle
firewalls og routere.

(3) Uden NAT er der nok stadig problemer, fordi firewalls kigger i
kontrolstrømmen efter hvilken IP-port ftp-forbindelsen skal foregå via.
Og når ftp sender besked, så åbner firewallen dynamisk for den ekstra
forbindelse ftp skal anvende. Men det kan den nok ikke hvis du vælger en
anden (FTP/)IP-port.

Derfor kan det være en fordel at anvende https eller evt. http - eller
andre "rene" tcp/ip bårne protokoller.

mvh/Glenn

-

Thomas Strandtoft (02-07-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 02-07-04 00:58

Glenn Møller-Holst wrote:

> Hold dig fra ftp - anvend i stedet tcp bårne services. Her er grundene:

Ftp er da tcp båren, det er da ihvertfald tcp port 21 jeg har
forwardet til min server hvis ikke jeg er blevet helt forkalket.

Jeg kan nu ikke helt forholde mig til det skræmmebillede Kurt
Seifried maler i den artikel du linker til.

> With active ftp, the client specifies to the server how the transfer
> will be done...the primary one being the firewalls must allow incoming
> connections from port 20 to a large selection of ports on internal
> machines. This allows attackers to easily scan internal machines by
> initiating connections from port 20.

...og hvad gør det hvis softwaren på den maskine portene er NAT'et
op til ikke lytter til disse porte før de er i brug? Portscanning
i sig selv er ikke farlig, det kan først misbruges hvis der ikke
er styr på hvilken software der svarer på tingene. At resten af
netværket skal scannes køber jeg ikke, routeren vil være sat op
til at forwarde de pågældende porte til ftpserveren ellers giver
det ingen mening at forwarde portene. Det kræver naturligvis et
fornuftigt ftpserver program installeret, samt at man generelt har
check på hvilke services maskinen med ftpserveren tilbyder, men
andet er der ikke i det.

> ...
> With passive mode ftp the client asks the server for a file and the
> server specifies how the transfer will be done.
> ...
> This allows you to steal files without having to know usernames,
> passwords or any other details, and can be done randomly with a good
> chance of success. Unfortunately there is nothing the clients can do to
> protect themselves: the process is reliant on the server to protect data
> transfers.

Han giver jo selv svaret: "The FTP server could remember which
host requested the file and only allow that machine to download
it.". Igen er det et spørgsmål om at vælge den rette ftpserver
software.

> ...
> Other Attacks
> Probably the most popular FTP attack in the past was the FTP "bounce"
> attack. By misusing the PORT command, an attacker could use an ftp
> server to connect to other machines. This allows for all sorts of
> malicious activity from simple port scanning to moving files around.

Det forudsætter at ftpserveren er sat op til at tilbyde FXP
transfers, det kan man jo bare slå fra. Endelig kan en del
ftpservere sættes op til at kyle brugere af hvis de opfører sig
"uhensigtsmæssigt", fx. hvis der bliver lavet en hulens bunke
forsøg på FXP.

> H D Moore: To be plain, FTP sucks.

Jeg synes nu mere der er tale om at gutten har fundet ud af at en
del ftpservere er dårligt programmerede og kan udnyttes, men det
har sgutte meget med ftp protokollen at gøre, der er også tonsvis
af software til fx. http der stinker (for nu at starte et sted).

> Flere problemer:
>
> (1) Hvis man vælger at anvende ftp, skal alle klienter sættes op til at
> anvende "passive mode".

Klientopsætningen er jo ikke noget personen bag ftpserveren har
magt over. Man kan sætte serveren op til kun at acceptere passive
ftp.

> (2) Normalt ftp-intervenerer firewalls (Cisco pix: "fixup...ftp") eller
> routere - med NAT - kun port 20-21 (ftp), men anvendes du andre end
> disse IP-porte, kan netudstyret ikke intervenere og så er alle dine
> potentielle NAT-brugere tabt, medmindre måske kan få ændret alle
> firewalls og routere.

"kan netudstyret ikke intervenere" - hvad er det nu lige du mener
når du skriver det og hvad er en "NAT-bruger"?

> (3) Uden NAT er der nok stadig problemer, fordi firewalls kigger i
> kontrolstrømmen efter hvilken IP-port ftp-forbindelsen skal foregå via.
> Og når ftp sender besked, så åbner firewallen dynamisk for den ekstra
> forbindelse ftp skal anvende. Men det kan den nok ikke hvis du vælger en
> anden (FTP/)IP-port.

Så vælg en anden firewall, eller lad evt. helt være med at bruge
sådan en (jfr. at hvis du har styr på din computer og de services
den tilbyder, så er en firewall ikke nødvendig).

> Derfor kan det være en fordel at anvende https eller evt. http - eller
> andre "rene" tcp/ip bårne protokoller.

Ja, man har aldrig nogensinde hørt om misbrug via port 80..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

Glenn Møller-Holst (02-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 02-07-04 15:09

Hej Thomas

Det er rigtigt at ftp kører over tcp, men det er ikke ren tcp. Det er
grunden til at firewalls skal sættes specielt op til ftp.

Thomas Strandtoft wrote:
> Glenn Møller-Holst wrote:
....
>
>>(2) Normalt ftp-intervenerer firewalls (Cisco pix: "fixup...ftp") eller
>>routere - med NAT - kun port 20-21 (ftp), men anvendes du andre end
>>disse IP-porte, kan netudstyret ikke intervenere og så er alle dine
>>potentielle NAT-brugere tabt, medmindre måske kan få ændret alle
>>firewalls og routere.
>
>
> "kan netudstyret ikke intervenere" - hvad er det nu lige du mener
> når du skriver det og hvad er en "NAT-bruger"?
>

Med en NAT bruger mener jeg en bruger, som bliver NATtet via en router
eller en firewall - f.eks. en Cisco Pix firewall.

Med intervenere mener jeg at router eller firewall aktivt følger ftp
datastrømmen - og det har Martin brug for med 2 ftp-servere bag router
med NAT - og formodentlig med kun en ikke-NATtet ip-adresse:

Cisco Pix firewall:
Configuring Application Inspection (Fixup). FTP:
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008017278b.html#wp1101977
Citat: "...
[no] fixup protocol ftp [strict] [port]
....
The port parameter lets you configure the port at which the PIX Firewall
listens for FTP traffic.
....
If you disable FTP fixups with the no fixup protocol ftp command,
outbound users can start connections only in passive mode, and all
inbound FTP is disabled.
....
If the strict option is enabled, each ftp command and response sequence
is tracked for the following anomalous activity:
...."

>
>>(3) Uden NAT er der nok stadig problemer, fordi firewalls kigger i
>>kontrolstrømmen efter hvilken IP-port ftp-forbindelsen skal foregå via.
>>Og når ftp sender besked, så åbner firewallen dynamisk for den ekstra
>>forbindelse ftp skal anvende. Men det kan den nok ikke hvis du vælger en
>>anden (FTP/)IP-port.
>
>
> Så vælg en anden firewall, eller lad evt. helt være med at bruge
> sådan en (jfr. at hvis du har styr på din computer og de services
> den tilbyder, så er en firewall ikke nødvendig).
>

Det er sikkert billigere at anvende andre servere - f.eks. https eller
til nød http.

>
> Ja, man har aldrig nogensinde hørt om misbrug via port 80..
>

Men jeg vil stadig fraråde Martin at anvende ftp, da jeg tror han får
flere problemer med 2*ftp-server på formodentlig en ikke-NAT-adresse.

mvh/Glenn

-

Thomas Strandtoft (02-07-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 02-07-04 18:17

Glenn Møller-Holst wrote:

> >>(2) Normalt ftp-intervenerer firewalls (Cisco pix: "fixup...ftp") eller
> >>routere - med NAT - kun port 20-21 (ftp), men anvendes du andre end
> >>disse IP-porte, kan netudstyret ikke intervenere og så er alle dine
> >>potentielle NAT-brugere tabt, medmindre måske kan få ændret alle
> >>firewalls og routere.
> >
> >
> > "kan netudstyret ikke intervenere" - hvad er det nu lige du mener
> > når du skriver det og hvad er en "NAT-bruger"?
> >
>
> Med en NAT bruger mener jeg en bruger, som bliver NATtet via en router
> eller en firewall - f.eks. en Cisco Pix firewall.

Min router NAT'er porte, ikke brugere, men jeg er med på hvad du
mener. Jeg har dog svært ved at se hvorfor routeren behøver følge
aktivt med i datastrømmen på port 20-21 for at kunne åbne de porte
ftpserveren beder om at få åbnet, routeren kan da nøjes med at
reagere på de requests ftpserveren kommer med fra LAN siden.

> Cisco Pix firewall:
> Configuring Application Inspection (Fixup). FTP:
> http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008017278b.html#wp1101977

Ja, det er en begrænsning man møder hvis man bruger en Cisco Pix,
fordi den insisterer på at verificere alt ftp trafik før den
slipper den videre, men det er da fuldstændigt uden relevans for
folk der ikke bruge en Cisco Pix og kan ikke bruges til generelt
at påstå at ftp ikke holder..

> > Så vælg en anden firewall, eller lad evt. helt være med at bruge
> > sådan en (jfr. at hvis du har styr på din computer og de services
> > den tilbyder, så er en firewall ikke nødvendig).
>
> Det er sikkert billigere at anvende andre servere - f.eks. https eller
> til nød http.

Hvor dyrt mener du det er at undlade at bruge en firewall?

> > Ja, man har aldrig nogensinde hørt om misbrug via port 80..
>
> Men jeg vil stadig fraråde Martin at anvende ftp, da jeg tror han får
> flere problemer med 2*ftp-server på formodentlig en ikke-NAT-adresse.

Det skal du have lov til at mene, det er ikke det jeg bestrider -
jeg køber bare ikke at brugen af en ftpserver er ensbetydende med
at åbne for de enorme sikkerhedshuller Kurt Seifried mener der er.

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

Glenn Møller-Holst (02-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 02-07-04 21:13

Hej Thomas

Thomas Strandtoft wrote:

> Glenn Møller-Holst wrote:
....
>
> Min router NAT'er porte, ikke brugere, men jeg er med på hvad du
> mener.

Lidt mere "flueknepperi":

En router eller firewall, som NAT'ter datastrømme, er karakteriseret ved
én 5-tupple; protocol(icmp,tcp,udp...)+socket: (ip-protocol, source ip
address, source ip-port, destination ip address, destination ip-port).

Mange datastrømme bliver initieret af brugere, som via deres PC starter
browsere (web, ftp...) - der initierer og afslutter datastrømme.

-

> Jeg har dog svært ved at se hvorfor routeren behøver følge
> aktivt med i datastrømmen på port 20-21 for at kunne åbne de porte
> ftpserveren beder om at få åbnet, routeren kan da nøjes med at
> reagere på de requests ftpserveren kommer med fra LAN siden.
>

Kig i artiklen med titlen "Firewall Configuration Prerequisites" længere
fremme.

>
>>Cisco Pix firewall:
>>Configuring Application Inspection (Fixup). FTP:
>>http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008017278b.html#wp1101977
>
>
> Ja, det er en begrænsning man møder hvis man bruger en Cisco Pix,
> fordi den insisterer på at verificere alt ftp trafik før den
> slipper den videre, men det er da fuldstændigt uden relevans for
> folk der ikke bruge en Cisco Pix og kan ikke bruges til generelt
> at påstå at ftp ikke holder..
>

Hvorfor tror du mon Pix'en kan verificere ftp-trafik og ftp-kommandoer?
Tror du det er for sjov?

-

>
> Hvor dyrt mener du det er at undlade at bruge en firewall?
>

Selvfølgelig kan man undvære firewalls og DMZ, men læs hvad CERT og
andre anbefaler.

Lidt om hvad CERT står for:

The CERT® Coordination Center FAQ:
http://www.cert.org/faq/cert_faq.html#A1
"...
A1. What is the CERT Coordination Center?
The CERT/CC is a major reporting center for Internet security problems.
Staff members provide technical advice and coordinate responses to
security compromises, identify trends in intruder activity, work with
other security experts to identify solutions to security problems, and
disseminate information to the broad community. The CERT/CC also
analyzes product vulnerabilities, publishes technical documents, and
presents training courses.
...."

-

CERT® Coordination Center:
http://www.cert.org/tech_tips/ftp_port_attacks.html
Citat: "...
The site uses good security practice by separating the machines that
provide these external services from those that perform internal
services. It is important to have strong network boundaries (preferably
using firewalls)
....
Sites using dynamic packet filtering firewalls may need to take
additional steps to ensure that third-party PORT commands are blocked by
the firewall. If you need to address this problem, we encourage you to
check with your vendor to determine the steps you should take.
...."

-

DMZ or not ?:
http://honor.trusecure.com/pipermail/firewall-wizards/1999-October/006561.html
Citat: "...If you operate [f.eks. et FTP-server] in between the router
and the firewall, you lose the stateful inspection capabilities of your
firewall. You also lose some other protection like syn flooding
detection and prevention..."

-

>
>>>Ja, man har aldrig nogensinde hørt om misbrug via port 80..
>>
>>Men jeg vil stadig fraråde Martin at anvende ftp, da jeg tror han får
>>flere problemer med 2*ftp-server på formodentlig en ikke-NAT-adresse.
>
>
> Det skal du have lov til at mene, det er ikke det jeg bestrider -
> jeg køber bare ikke at brugen af en ftpserver er ensbetydende med
> at åbne for de enorme sikkerhedshuller Kurt Seifried mener der er.
>

Det er ikke kun Kurt, der har denne holdning:

Firewall Configuration Prerequisites.
By Jay Beale, Lead Developer, Bastille Linux Project
(jay@bastille-linux.org), Principal Consultant JJB Security Consulting
and Training (C) 2000, Jay Beale /FONT>:
http://www.bastille-linux.org/jay/firewall-prereqs.html
Citat: "...
Well, there's a partial solution to this, in that you can force
everyone's clients to use "passive" mode FTP, which works like this:
....
So, this is more normal. The client is opening that second connection,
albeit to an arbitrary high (1024-65535) port on the server. *This is
better, though it now opens the server up to greater risk. See, now the
firewall on the server end has to allow all connections to high ports on
the FTP server machines*. Now, a knowledgeable admin can reduce this
port range, from 1024-65535, to something more manageable like
40,000-45,000, but this still leaves a wide port range that has to be
allowed in the server-side firewall. So, is there any hope?

Well, barring killing off FTP, there is. Stateful firewalls can watch
the data stream and understand the port negotiation. Unlike non-stateful
firewalls, which have to allow every potential port, stateful firewalls
can allow through packets destined for the specific additional data
port, at the specific "right time" in the connection.
...."

-

http://www.outpostfirewall.com/guide/rules/preset_rules/ftp.htm
Citat: "...
Protocol: TCP
Direction: Inbound
Local Port(s): 1024-65535
Action: Allow It

Protocol: TCP
Direction:Outbound
Remote Port(s): 1024-65535
Action: Allow It
....
But wait a minute! Doesn't this cause all kinds of problems
[Sikkerhedsproblemer!] for the server side firewall? [Dén foran
FTP-serveren]
Yes it does, but servers have away round this. Most FTP servers allow a
server administrator to specify a range of local ports [Det er en ussel
men halvgod løsning] the FTP server is allowed to open and use.
...."

mvh/Glenn

-

Thomas Strandtoft (03-07-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 03-07-04 08:36

Glenn Møller-Holst wrote:

> Kig i artiklen med titlen "Firewall Configuration Prerequisites" længere
> fremme.

Roger!

> Hvorfor tror du mon Pix'en kan verificere ftp-trafik og ftp-kommandoer?
> Tror du det er for sjov?

Nej. Hvis man vælger at bruge en Pix, så accepterer man nogle
begrænsninger. For at kompensere for en af disse begrænsninger har
Cisco sørget for at Pix'en kigger på trafikken på port 21 for at
finde ud af hvilke porte den skal tillade åbnet. Hvis ikke man har
en Cisco Pix er Cisco's måde at styre FTP trafik på evigt
ligegyldig. Cisco's muligheder og løsninger har ikke noget at gøre
med om man bør bruge FTP eller ej, de har noget at gøre med om man
bør bruge Cisco eller ej.

> Selvfølgelig kan man undvære firewalls og DMZ, men læs hvad CERT og
> andre anbefaler.
>
> Lidt om hvad CERT står for:
>
> The CERT® Coordination Center FAQ:
> http://www.cert.org/faq/cert_faq.html#A1

Der kan jeg se hvad CERT er for noget, men ikke hvad de anbefaler
eller hvad deres holdning til firewalls og ftp brug er. Hvis jeg
forfølger deres firewall-link i bunden, får jeg mulighed for at
tilmelde mig en mailingliste hvor "Moderator Marcus Ranum invites
technically useful postings and aims for a low signal-to-noise
ratio.". Der må være tale om en tanketorsk, for at sigte efter et
lavt signalstøjforhold er ikke ligefrem noget der fremmer at man
får lyst til at tilmelde sig mailinglisten..

> CERT® Coordination Center:
> http://www.cert.org/tech_tips/ftp_port_attacks.html
> Citat: "...
> The site uses good security practice by separating the machines that
> provide these external services from those that perform internal
> services. It is important to have strong network boundaries (preferably
> using firewalls)

Ja, men læs lige at det er DMZ de snakker om, dvs. firewallen
sidder mellem serveren og det interne netværk, ikke mellem
serveren og internettet.

> Sites using dynamic packet filtering firewalls may need to take
> additional steps to ensure that third-party PORT commands are blocked by
> the firewall. If you need to address this problem, we encourage you to
> check with your vendor to determine the steps you should take.

Det var det der med muligheden for server-to-server transfer (FXP)
man bør slå fra eller i det mindste sikre at "bouncing" ikke er
noget ftpserveren tillader - der har vi allerede været..

> DMZ or not ?:
> http://honor.trusecure.com/pipermail/firewall-wizards/1999-October/006561.html
> Citat: "...If you operate [f.eks. et FTP-server] in between the router
> and the firewall, you lose the stateful inspection capabilities of your
> firewall. You also lose some other protection like syn flooding
> detection and prevention..."

Og hvad så, hvis blot din server er sat ordentligt op og du har
check på hvilken trafik den tilbyder?

Den røde tråd i alle de advarsler du har linket til er følgende:

1) "Det er pissefarligt at der kan åbnes for porte i
routeren/firewallen."
- Gu' er det er hvis du har check på hvilke interne ipnumre
routeren porter trafikken til OG maskinen på det pågældende
ipnummer er sat korrekt op.

2) "Man kan FTP bounce og bruge denne funktion til bl.a. at lokke
serveren til at åbne porte for porte i routeren, både på egne
vegne og på vegne af andre maskiner på serverens LAN."
- Korrekt, hvis ikke serveren er sat op til at afvise den slags.
Igen er det bare et spørgsmål om at have styr på hvilke services
serveren tilbyder.

Lad mig sige det sådan: Hvis ikke du har styr på hvad din server
tilbyder af services, så er det generelt en dårlig ide at koble
den til internettet uanset om den fungerer som ftp-, http-, mail-
eller andre former for server. At tro at en firewall redder dagen
for en dårligt opsat server er naivt, det har sgutte noget at gøre
med om den kører ftp eller http.

> So, this is more normal. The client is opening that second connection,
> albeit to an arbitrary high (1024-65535) port on the server. *This is
> better, though it now opens the server up to greater risk. See, now the
> firewall on the server end has to allow all connections to high ports on
> the FTP server machines*. Now, a knowledgeable admin can reduce this
> port range, from 1024-65535, to something more manageable like
> 40,000-45,000, but this still leaves a wide port range that has to be
> allowed in the server-side firewall. So, is there any hope?

Igen udfra en betragtning om at firewallen sidder mellem routeren
og serveren og igen ud fra en holdning om at åbne porte er
farlige. Personligt ville jeg vælge at sætte firewallen efter min
server, dvs. bruge den til at skærme mit interne netværk og dets
brugere og have serveren i DMZ. At serveren kan ses "udefra" ville
jeg tage ret roligt, da det er hele ideen med at have en server.

> http://www.outpostfirewall.com/guide/rules/preset_rules/ftp.htm
> Citat: "...
> Protocol: TCP
> Direction: Inbound
> Local Port(s): 1024-65535
> Action: Allow It
>
> Protocol: TCP
> Direction:Outbound
> Remote Port(s): 1024-65535
> Action: Allow It

Det er anbefalinger på klientsiden, det har ikke noget med
serveropsætningen at gøre.

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

Glenn Møller-Holst (03-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 03-07-04 13:23

Thomas Strandtoft wrote:
> Glenn Møller-Holst wrote:
....
>
>>Selvfølgelig kan man undvære firewalls og DMZ, men læs hvad CERT og
>>andre anbefaler.
....
> Ja, men læs lige at det er DMZ de snakker om, dvs. firewallen
> sidder mellem serveren og det interne netværk, ikke mellem
> serveren og internettet.
>

Building Yourself A DMZ:
http://channels.lockergnome.com/news/archives/20040622_building_yourself_a_dmz.phtml
Citat: "... The better way to do this is with three completely separate
networks and two firewalls - one on the border of your WAN (which
handles your connection usually) - and one on the border of your
internal LAN. This design makes it so that two separate devices must be
compromised in order to get to your internal LAN, and as you will see
later - it’s no an easy thing to do..."

> Og hvad så, hvis blot din server er sat ordentligt op og du har
> check på hvilken trafik den tilbyder?
>
> Den røde tråd i alle de advarsler du har linket til er følgende:
>

Den røde tråd er, at "rigtigt" opsatte servere kan risikere at blive
kompromitteret. Og her er det en fordel med en eller flere firewalls.

Bl.a. pga. C's elendige tekststrenge, vil alle programmer og servere før
eller siden opleve buffer-overflows og i denne proces kunne blive
kompromitteret:

March 10, 2003, The Rookery: Buffer Overflow Attacks and Their
Countermeasures:
http://www.linuxjournal.com/article.php?sid=6701

Hvis folk bare kørte ordentlig, så var det ikke nødvendigt med airbags
og motorvejsmidterhegn. I den ideelle verden er firewalls overflødige.

Jo flere ting folk skal tage stilling til, jo flere "fejl" sniger der
sig ind i opsætninger. Derfor vil jeg hellere anbefale https og http end
ftp.

>
> Lad mig sige det sådan: Hvis ikke du har styr på hvad din server
> tilbyder af services, så er det generelt en dårlig ide at koble
> den til internettet uanset om den fungerer som ftp-, http-, mail-
> eller andre former for server. At tro at en firewall redder dagen
> for en dårligt opsat server er naivt, det har sgutte noget at gøre
> med om den kører ftp eller http.
>

Udgangspunktet var om man kunne sætte 2 ftp-servere op på formodentlig
kun én ip-adresse. Det anser jeg for at være ret svært, pga.
ftp-klientens anvendelse af mange porte - det kræver specielopsætning af
både NAT og ftp-servere som jeg ikke tror Martin kender til.

MLN wrote:
> Hej gruppe
>
> Jeg vil gerne have 2 FTP serverer bag min router på 2 forskellige
maskiner.
> Jeg har lavet den ene til at lytte på port 21 og den anden på port 27015.
> Jeg har lavet NAT entrys i min router, der er ingen firewall slået
til, men
> det er kun den på port 21 der virker.
> Det fungere på LAN siden.
>
> Er der nogen der kan forklare hvad det kan være der går galt ???
>
> MVH
> Martin Lynge

-

Derfor vil jeg hellere anbefale https (upload, download) eller http
(download).

Firewall Configuration Prerequisites.
By Jay Beale, Lead Developer, Bastille Linux Project
(jay@bastille-linux.org), Principal Consultant JJB Security Consulting
and Training (C) 2000, Jay Beale /FONT>:
http://www.bastille-linux.org/jay/firewall-prereqs.html
Citat: "...
So, this is more normal. The client is opening that second connection,
albeit to an arbitrary high (1024-65535) port on the server
...."

mvh/Glenn

-

Thomas Strandtoft (05-07-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 05-07-04 01:25

Glenn Møller-Holst wrote:

> Den røde tråd er, at "rigtigt" opsatte servere kan risikere at blive
> kompromitteret. Og her er det en fordel med en eller flere firewalls.
>
> Bl.a. pga. C's elendige tekststrenge, vil alle programmer og servere før
> eller siden opleve buffer-overflows og i denne proces kunne blive
> kompromitteret:

...og softwaren i en firewall (selv en hardware firewall) kan ikke
også være skrevet i C og blive tilsvarende kompromitteret??

> Jo flere ting folk skal tage stilling til, jo flere "fejl" sniger der
> sig ind i opsætninger. Derfor vil jeg hellere anbefale https og http end
> ftp.

Man skal da tage stilling til præcis den samme mængde opsætninger
hvis man bruger http og https, du har da stadig en server du skal
have sat forsvarligt op.

> Udgangspunktet var om man kunne sætte 2 ftp-servere op på formodentlig
> kun én ip-adresse. Det anser jeg for at være ret svært, pga.
> ftp-klientens anvendelse af mange porte - det kræver specielopsætning af
> både NAT og ftp-servere som jeg ikke tror Martin kender til.

Det er nok et rimeligt sikkert bud eftersom det er det Martin
efterlyser hjælp til.

> Derfor vil jeg hellere anbefale https (upload, download) eller http
> (download).

...men nu er det jo ikke det han beder om og der kan være praktiske
grunde til at han ønsker at bruge ftp fremfor http eller https,
fx. giver det folk muligheden for at markere et helt dir og
downloade dette i stedet for at skulle nappe filerne enkeltvis fra
en http server.

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

Glenn Møller-Holst (05-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 05-07-04 21:15

Thomas Strandtoft wrote:

> Glenn Møller-Holst wrote:
>
....
>>Bl.a. pga. C's elendige tekststrenge, vil alle programmer og servere før
>>eller siden opleve buffer-overflows og i denne proces kunne blive
>>kompromitteret:
>
>
> ..og softwaren i en firewall (selv en hardware firewall) kan ikke
> også være skrevet i C og blive tilsvarende kompromitteret??
>

Jo, det kan de også, men firewall leverandørerne tester vel deres
software/firmware mere end gængs applikationssoftware?

....
>
>
>>Udgangspunktet var om man kunne sætte 2 ftp-servere op på formodentlig
>>kun én ip-adresse. Det anser jeg for at være ret svært, pga.
>>ftp-klientens anvendelse af mange porte - det kræver specielopsætning af
>>både NAT og ftp-servere som jeg ikke tror Martin kender til.
>
>
> Det er nok et rimeligt sikkert bud eftersom det er det Martin
> efterlyser hjælp til.
>
>
>>Derfor vil jeg hellere anbefale https (upload, download) eller http
>>(download).
>
>
> ..men nu er det jo ikke det han beder om og der kan være praktiske
> grunde til at han ønsker at bruge ftp fremfor http eller https,
> fx. giver det folk muligheden for at markere et helt dir og
> downloade dette i stedet for at skulle nappe filerne enkeltvis fra
> en http server.
>

Jeg har læst dit svar til Martin og jeg er nysgerrig efter at læse om du
anvender aktiv eller passiv ftp - og om du har indstillet routerens
port-NAT med ftp vink?

Hvis det er med passiv ftp, har jeg svært ved at forstå, hvordan
routeren "ved" hvilken ftp-server den skal sende ftp-data-forbindelsen
til, uden at "kende" noget til ftp-control-forbindelsen. Har du evt.
evt. delt de høje porte i 2 grupper?

-

Jeg tror at nogle af disse http-klienter kan downloade hele
http-kataloger/sites. Om de er ligeså lette som ftp-klienter, ved jeg
ikke, da jeg ikke har testet dem:

http://directory.google.com/Top/Computers/Software/Internet/Site_Management/Mirroring/

http://www.bpftp.com/
"...
HTTP downloading with support for redirected URLs

Local file listing with rename/delete/make directory support
...."


http://www.blackdiamond.co.za/bdhefty.html
"...
Can download files off the Web using HTTP, with full
reconnection/resumption capabilities
...."

http://www.netants.com/en/index.html
"...
*HTTP/FTP multithread downloading with resuming capability
*Flexible batch job methods to download multiple files
...."

http://softbytelabs.com/Frames.html?f1=Banner.html&f2=BlackWidow/index.html
"...
BlackWidow is a web site scanner, a site mapping tool, a site ripper, a
site mirroring tool, and an offline browser program.
...."

mvh/Glenn

-

Thomas Strandtoft (05-07-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 05-07-04 23:56

Glenn Møller-Holst wrote:

> > ..og softwaren i en firewall (selv en hardware firewall) kan ikke
> > også være skrevet i C og blive tilsvarende kompromitteret??
>
> Jo, det kan de også, men firewall leverandørerne tester vel deres
> software/firmware mere end gængs applikationssoftware?

Det er da muligt, men der er jo ingen garantier..

> Jeg har læst dit svar til Martin og jeg er nysgerrig efter at læse om du
> anvender aktiv eller passiv ftp - og om du har indstillet routerens
> port-NAT med ftp vink?

Jeg connectede PASV, dvs. passivt. Jeg lavede ikke nogen
fiksfakserier i routeren, jeg nattede blot port 27015 i routeren
op til at ramme port 27015 på maskinen med ftpserver nummer 2.
Efter jeg loggede på, åbnede ftpserveren for port 4797.

> Hvis det er med passiv ftp, har jeg svært ved at forstå, hvordan
> routeren "ved" hvilken ftp-server den skal sende ftp-data-forbindelsen
> til, uden at "kende" noget til ftp-control-forbindelsen. Har du evt.
> evt. delt de høje porte i 2 grupper?

Nope, den eneste opsætning jeg har lavet i routeren er at mappe
porten op, intet andet. Routeren er en Cisco 677 hvis du kan bruge
det til noget.

> Jeg tror at nogle af disse http-klienter kan downloade hele
> http-kataloger/sites. Om de er ligeså lette som ftp-klienter, ved jeg
> ikke, da jeg ikke har testet dem:

> http://softbytelabs.com/Frames.html?f1=Banner.html&f2=BlackWidow/index.html
> "...
> BlackWidow is a web site scanner, a site mapping tool, a site ripper, a
> site mirroring tool, and an offline browser program.
> ..."

Blackwidow har jeg prøvet og den er ikke tilnærmelsesvis så nem at
bruge som en ftp klient. Man skal oprette en profil for det site
man ønsker at downloade fra, og i stedet for blot at kunne markere
hvilke dir man ønsker at hente, så skal man ud i en masse med at
definere hvor mange subdir den må gå ned, hvilke filtyper den skal
hente, om den må springe til andre sites og den slags. I alle de
ftp klienter jeg har prøvet skal man blot markere det man vil have
og trykke go.

De øvrige programmer kender jeg ikke.

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

Soren (News) (03-07-2004)
Kommentar
Fra : Soren (News)


Dato : 03-07-04 08:23


Hej,

[snip]
Glenn Møller-Holst <glenn@bitnisse.onedot.dk> writes:

> Det er rigtigt at ftp kører over tcp, men det er ikke ren tcp. Det er grunden
> til at firewalls skal sættes specielt op til ftp.

Hvad er 'ren' tcp lige? Til FTP protokollen bruges der TCP ved baade control
og data forbindelser.

> [no] fixup protocol ftp [strict] [port]
> ...
> The port parameter lets you configure the port at which the PIX Firewall listens
> for FTP traffic.

Aha, det lyder jo lidt somom at man godt kan lave det med f.eks. Cisco PIX, man
laver bare 2 'fixup' lines, en for hver port man vil benytte til FTP-control
forbindelser ?

Desuden er det som Thomas skriver, en alternativ mulighed at vaelge en 'smart'
FTP-server, idet der findes servere som kun benytter en port til indgaaende data
forbindelser. (som f.eks. port 20 der er 'default' port).

I det specifikke tilfaelde skal han saa forwarde 4 porte i sin router for at
det hele vil fungere 'ud af boksen'.

> Men jeg vil stadig fraråde Martin at anvende ftp, da jeg tror han får flere
> problemer med 2*ftp-server på formodentlig en ikke-NAT-adresse.

NAT eller ikke NAT, der er ingen problemer med at koere 2 FTP-servere paa
et netvaerk. De problemer der kan opstaa er at han vaelger en server der
indeholder saarbarheder overfor hackere - hvilket baade er ude for scope
af hans spoergsmaal, og i et mere generelt scope for alle services man vil
have at folk skal kunne tilgaa over Internettet.


Mvh,

--
___
Soren Davidsen / o\
Deliver yesterday, code today, think tomorrow. (_____)
__ http://www.tanesha.net/ _________________________________(___)_______

Glenn Møller-Holst (03-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 03-07-04 12:24

Soren (News) wrote:

> Hej,
>
> [snip]
> Glenn Møller-Holst <glenn@bitnisse.onedot.dk> writes:
>
>
>>Det er rigtigt at ftp kører over tcp, men det er ikke ren tcp. Det er grunden
>>til at firewalls skal sættes specielt op til ftp.
>
>
> Hvad er 'ren' tcp lige? Til FTP protokollen bruges der TCP ved baade control
> og data forbindelser.

Hej Søren

Ja, ftp benytter tcp, men ikke kun forbindelser til port 20-21. Klienten
starter også en forbindelse ind på en port højere end 1023. Og hvis man
vælger at sætte en firewall foran som ikke kan følge med i
kontrol-strømmen bliver man nødt til at åbne for alle indgående
tcp-porte over 1023.

Firewall Configuration Prerequisites.
By Jay Beale, Lead Developer, Bastille Linux Project
(jay@bastille-linux.org), Principal Consultant JJB Security Consulting
and Training (C) 2000, Jay Beale /FONT>:
http://www.bastille-linux.org/jay/firewall-prereqs.html
Citat: "...
Well, there's a partial solution to this, in that you can force
everyone's clients to use "passive" mode FTP, which works like this:
....
So, this is more normal. The client is opening that second connection,
albeit to an arbitrary high (1024-65535) port on the server. *This is
better, though it now opens the server up to greater risk. See, now the
firewall on the server end has to allow all connections to high ports on
the FTP server machines*. Now, a knowledgeable admin can reduce this
port range, from 1024-65535, to something more manageable like
40,000-45,000, but this still leaves a wide port range that has to be
allowed in the server-side firewall. So, is there any hope?

Well, barring killing off FTP, there is. Stateful firewalls can watch
the data stream and understand the port negotiation. Unlike non-stateful
firewalls, which have to allow every potential port, stateful firewalls
can allow through packets destined for the specific additional data
port, at the specific "right time" in the connection.
...."

mvh/Glenn

-

Soren (News) (04-07-2004)
Kommentar
Fra : Soren (News)


Dato : 04-07-04 11:01

Glenn Møller-Holst <glenn@bitnisse.onedot.dk> writes:

[snip]
> Ja, ftp benytter tcp, men ikke kun forbindelser til port 20-21. Klienten starter
> også en forbindelse ind på en port højere end 1023. Og hvis man vælger at sætte
> en firewall foran som ikke kan følge med i kontrol-strømmen bliver man nødt til
> at åbne for alle indgående tcp-porte over 1023.

Som du selv naevner der baade passiv og 'aktiv' maade at starte
data-forbindelser paa. Kan proeve at skitsere scenarierne:

1) Klient siger PORT x,x,x,x,x,x og serveren finder ud af hvor den skal lave en
udgaaende forbindelse til. Det kan sagtens vaere at den skal lave en udgaaende
forbindelse paa en port over 1023, men det er ligegyldigt, der skal stadig ikke
aabnet for nogen indgaaende porte.

2) Klient siger PASV, og serveren svarer tilbage med en port som den lytter
paa hvor klienten kan forbinde sig til. Her vil en smart FTP-server som jeg
beskriver altid give porten '20'. Der skal altsaa kun aabnes for indgaaende
forbindelser paa port 20.

Der er altsaa ikke i nogen af scenarierne brug for at man aabner mere end 1
indgaaende port til data-forbindelser.


Mvh,

--
___
Soren Davidsen / o\
Deliver yesterday, code today, think tomorrow. (_____)
__ http://www.tanesha.net/ _________________________________(___)_______

Glenn Møller-Holst (05-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 05-07-04 21:49

Soren (News) wrote:

> Glenn Møller-Holst <glenn@bitnisse.onedot.dk> writes:
>
> [snip]
>
>>Ja, ftp benytter tcp, men ikke kun forbindelser til port 20-21. Klienten starter
>>også en forbindelse ind på en port højere end 1023. Og hvis man vælger at sætte
>>en firewall foran som ikke kan følge med i kontrol-strømmen bliver man nødt til
>>at åbne for alle indgående tcp-porte over 1023.
>
>
> Som du selv naevner der baade passiv og 'aktiv' maade at starte
> data-forbindelser paa. Kan proeve at skitsere scenarierne:
>
> 1) Klient siger PORT x,x,x,x,x,x og serveren finder ud af hvor den skal lave en
> udgaaende forbindelse til. Det kan sagtens vaere at den skal lave en udgaaende
> forbindelse paa en port over 1023, men det er ligegyldigt, der skal stadig ikke
> aabnet for nogen indgaaende porte.
>
> 2) Klient siger PASV, og serveren svarer tilbage med en port som den lytter
> paa hvor klienten kan forbinde sig til. Her vil en smart FTP-server som jeg
> beskriver altid give porten '20'. Der skal altsaa kun aabnes for indgaaende
> forbindelser paa port 20.
>
> Der er altsaa ikke i nogen af scenarierne brug for at man aabner mere end 1
> indgaaende port til data-forbindelser.
>
>
> Mvh,
>

Hej Søren

Af hensyn til sikkerheden antages det at passiv-ftp er anvendt.

Passiv-ftp. Åbner fra klient til server:
1) En tcp control-forbindelse på port 21.
2) En tcp data-forbindelse på en eller anden dynamisk port 1024-65536.

Pointen er at en router med NATning fra en officiel adresser til 2
bagvedliggende ftp-servere, ikke deterministisk kan sende en passiv-ftp
data-forbindelse, til den rette server, medmindre routeren kigger i den
tilhørende tcp ftp-control-forbindelsen.

Hvis det er med passiv ftp, har jeg svært ved at forstå, hvordan
routeren "ved" hvilken ftp-server den skal sende ftp-data-forbindelsen
til, uden at "kende" noget til ftp-control-forbindelsen. Har du evt.
evt. delt de høje porte i 2 grupper?

Kig venligst på denne tegning:
http://slacksite.com/other/ftp.html#passive
Citat: "... Passive FTP is beneficial to the client, but detrimental to
the FTP server admin. The client will make both connections to the
server, but one of them will be to a random high port, which would
almost certainly be blocked by a firewall on the server side
[Kommentar: Medmindre man har åbnet alle dynamiske porte - eller
firewall kan "forstå" ftp-control port-forhandlingen]..."

mvh/Glenn

-

Jesper Dybdal (05-07-2004)
Kommentar
Fra : Jesper Dybdal


Dato : 05-07-04 22:31

Glenn Møller-Holst <glenn@bitnisse.onedot.dk> wrote:

>Kig venligst på denne tegning:
>http://slacksite.com/other/ftp.html#passive
>Citat: "... Passive FTP is beneficial to the client, but detrimental to
>the FTP server admin. The client will make both connections to the
>server, but one of them will be to a random high port, which would
>almost certainly be blocked by a firewall on the server side

>[Kommentar: Medmindre man har åbnet alle dynamiske porte - eller
>firewall kan "forstå" ftp-control port-forhandlingen]..."

Netop. Og i betragtning af at en normal Linux (netfilter/iptables)
firewall uden videre kan forstå det, så er det lidt sjovt at man
finder ovenstående tekst netop på et websted som omhandler en
Linuxdistribution.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Thomas Strandtoft (06-07-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 06-07-04 00:15

Glenn Møller-Holst wrote:

> Af hensyn til sikkerheden antages det at passiv-ftp er anvendt.
>
> Passiv-ftp. Åbner fra klient til server:
> 1) En tcp control-forbindelse på port 21.

....eller port 27015 hvis det er den anden ftpserver klienten
ønsker at forbinde til.

> 2) En tcp data-forbindelse på en eller anden dynamisk port 1024-65536.
>
> Pointen er at en router med NATning fra en officiel adresser til 2
> bagvedliggende ftp-servere, ikke deterministisk kan sende en passiv-ftp
> data-forbindelse, til den rette server, medmindre routeren kigger i den
> tilhørende tcp ftp-control-forbindelsen.

Jo, for de to ftp-control-forbindelser kører på to forskellige
porte, den ene på port 21 og den anden på port 27015.

> Kig venligst på denne tegning:
> http://slacksite.com/other/ftp.html#passive
> Citat: "... Passive FTP is beneficial to the client, but detrimental to
> the FTP server admin. The client will make both connections to the
> server, but one of them will be to a random high port, which would
> almost certainly be blocked by a firewall on the server side
> [Kommentar: Medmindre man har åbnet alle dynamiske porte - eller
> firewall kan "forstå" ftp-control port-forhandlingen]..."

Læs lige en smule videre indtil du når til:

....
The first port contacts the server on port 21, but instead of then
issuing a PORT command and allowing the server to connect back to
its data port, the client will issue the PASV command. The result
of this is that the server then opens a random unprivileged port
(P > 1024) and sends the PORT P command back to the client. The
client then initiates the connection from port N+1 to port P on
the server to transfer data.
....

Det der står er, at routeren på serversiden ikke behøver at have
andet end port 21 åben fra start af. Når serveren bliver kontaktet
af en klient med PASV kommandoen, åbner serveren for en port ud
gennem routeren og fortæller dette portnummer til klienten. Din
"angst" for at det er nødvendigt at have et stort læse dynamiske
porte stående åbne er altså ubegrundet. Hvis serveren eller
routeren er blot en lille smule intelligente holder de såmænd også
styr på hvilket ipnummer der matcher en given port og gennemhuller
Kurt Seifried's argument om at fremmede kan lytte med på
trafikken..

Det eneste argument jeg kan se holder vand er risikoen for bounce
attacks, og det kan klares ved at slå FXP fra i serveropsætningen.

Set herfra er din skepsis overfor brugen af ftp temmeligt mager,
sorry to say..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

Glenn Møller-Holst (01-07-2004)
Kommentar
Fra : Glenn Møller-Holst


Dato : 01-07-04 17:58

MLN wrote:

> Hej gruppe
>
> Jeg vil gerne have 2 FTP serverer bag min router på 2 forskellige maskiner.
> Jeg har lavet den ene til at lytte på port 21 og den anden på port 27015.
> Jeg har lavet NAT entrys i min router, der er ingen firewall slået til, men
> det er kun den på port 21 der virker.
> Det fungere på LAN siden.
>
> Er der nogen der kan forklare hvad det kan være der går galt ???
>
> MVH
> Martin Lynge
>
>

Mere information:

Re: Using PORT command (passive off) on ftp through PF:
http://naughty.monkey.org/openbsd/archive/misc/0204/msg01785.html
Citat: "...
FTP just sucks http://www.codetalker.com/whitepapers/ftp-review.shtml

So you want to allow active FTP through your firewall. This is possible
without ftp-proxy, if you're not using NAT. If you use NAT, you'll need
ftp-proxy to make active ftp work.

The big problem is that FTP sucks. The easiest way to allow active FTP, is
the following rules [Her fjernes firewall filtrene!:]:
pass in all
pass out all
....
If you don't use ftp-proxy, you can't block anything.
...."

-

FTP Reviewed.
Chris Grant | 1998-07-03:
http://pintday.org/whitepapers/ftp-review.shtml
Citat: "...
There are two possible ways of establishing a data connection: active,
and passively-initiated connections. In the active technique, the client
first issues a PORT command to the server. This indicates to the server
which port the client wishes to receive the data on.
....
The second way of creating a data connection is called a
passively-initiated data transfer. Instead of issuing a PORT command,
the client can issue the PASV command.
....
Bring on the paranoia!
After reading the above I would hope the little rotating red "I see some
security concerns here" light was going off in your head. The
description on the previous page raises a whole series of potential
security issues, some of which I'll look at now.
....
Another potential problem is the very act of getting FTP through a
firewall. Regulating data transmissions with FTP can be very tricky,
particularly if the data is being actively transmitted.
....
Inevitable, difficulty results in bugs. This coupled with the fact that
FTP is typically an external service accessible from other networks goes
a good distance to explaining why there are so many FTP exploits and
attacks. Need proof? See the Recent Exploits section, below.
....

...."

mvh/Glenn

-

Thomas Strandtoft (05-07-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 05-07-04 01:47

MLN wrote:

> Jeg vil gerne have 2 FTP serverer bag min router på 2 forskellige maskiner.
> Jeg har lavet den ene til at lytte på port 21 og den anden på port 27015.
> Jeg har lavet NAT entrys i min router, der er ingen firewall slået til, men
> det er kun den på port 21 der virker.
> Det fungere på LAN siden.
>
> Er der nogen der kan forklare hvad det kan være der går galt ???

Jeg har lige testet samme opsætning her og det fungerede fint.

I min router nattede jeg port 21 op til den ene maskine og 27015
op til den anden. Jeg satte ftpservere op på begge og huskede at
rette serverens portnummer til 27015 på maskine 2. Vhja. en
ftpklient connectede og downloadede jeg fra begge servere
samtidigt, ganske uden problemer. Jeg connectede for øvrigt til
mit eksterne ipnummer, så trafikken var en tur ude på internettet
og retur gennem min router, der var ikke kun tale om ren LAN
trafik. Ftpserverne så mig også som en ekstern bruger, dvs.
identificerede mig ved mit WAN ip, ikke mit LAN ip.

Jeg testede med serv-u som serversoftware og aceftp3 som klient.
De to serv-u var installeret på to forskellige maskiner, jeg har
ikke prøvet at køre to installationer på en og samme maskine.

Hvordan er din testopstilling, kan det være noget med at din
router ikke tillader dig at lave "loop back"?

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

Søg
Reklame
Statistik
Spørgsmål : 177553
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste