/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Portproblem
Fra : Torben Brøndum


Dato : 30-08-01 10:10

hej NG,

Anvender Win2Ksrv. Har IIS 5.0 herunder FTP samt HTTP på selvfølgelig port
21 & 80. har indst. Norton personal Firewall. Når NPF er aktiveret og jeg
laver et kald via FTP blokeres for adgangen til min FTP server. NPF er åbnet
for FTP trafik såvel ind som ud.

Deaktiveres NPF fåes kontakt med min FTP server. Aktiverer jeg så NPF igen
efter jeg har fået FTP forbindelsen kan jeg se, at der er to porte åbne ved
dette FTP kald: port 21 samt port 3365 (sidsnævnte vil ænde sig ved flere
samtidige forbindelser).

Denne port 3365 er der jo ikke som standard åbnet for - derfor kan kaldet
ikke gennemføres, når NPF er aktiveret.

Spørgsmål: hvorfor skal der være to porte åbne ved FTP og for den sags skyld
HTTP kald ? Skal jeg så til at åbne for et portinterval i 33xx området sådan
på forhånd - det kan jeg ikke forstå. det er inetinfo.exe, der er den
eksekverbare fil. Hvad sker der her, og hvordan klarer jeg problemet ?

Det skal sigees, at jeg har opkobling via Stofanet med fast NAT konvertering
samt at alle porte skulle futte lige igennem til Stofas internet net, hvor
jeg jo så er på.

Hilsen Torben Brøndum



 
 
Kim Nielsen (30-08-2001)
Kommentar
Fra : Kim Nielsen


Dato : 30-08-01 13:56

"Torben Brøndum" wrote:
>
> Spørgsmål: hvorfor skal der være to porte åbne ved FTP og for den sags skyld
> HTTP kald ? Skal jeg så til at åbne for et portinterval i 33xx området sådan
> på forhånd - det kan jeg ikke forstå. det er inetinfo.exe, der er den
> eksekverbare fil. Hvad sker der her, og hvordan klarer jeg problemet ?
>
ftp-data 20/tcp
ftp 21/tcp

+

en client port .. ftp åbner en port over 1024 til data. Lær og lev med
det eller brug noget scp istedet .. dog burde det være muligt at stille
hvilke client ports den skal tildele i winmos.

/Kim

Christian Andersen (30-08-2001)
Kommentar
Fra : Christian Andersen


Dato : 30-08-01 13:59

Torben Brøndum wrote:

>Spørgsmål: hvorfor skal der være to porte åbne ved FTP

Læs RFC'en for FTP.

Det er den normale opførsel. Du sidder med en forbindelse til serverens
port 21 og skriver "GET pr0n.mpg", derefter siger serveren til
klienten: "Giv agt! Jeg åbner en forbindelse til dig fra mig på port
3180!". Ok, siger klienten så og overførslen går i gang.
Det er den forbindelse fra serveren til klienten, din firewall fanger,
fordi det er jo en udefrakommende forbindelse, som sådan en firewall jo
er designet til at stoppe.

Men der findes det der hedder Passive Mode. Det foregår sådan her: Du
sidder forbundet til serveren på port 21 og skriver "GET pr0n.mpg".
Derefter siger klienten til serveren: "Jeg åbner lige en forbindelse fra
mig til dig på port 3875!". "Ok!" Siger serveren.

Den forbindelse lader firewallen slippe igennem, fordi det er jo en
indefrakommende forbindelse og man stoler vel på sin egen computer? (Det
burde man så ikke gøre, hvis man er virkelig paranoid, men lad nu det
LIGGE! )

--
Nescafe - because your pets deserve the best!


Torben Brøndum (30-08-2001)
Kommentar
Fra : Torben Brøndum


Dato : 30-08-01 15:40


"Christian Andersen" <hypvxo28u85zyj001@sneakemail.com> skrev

> Læs RFC'en for FTP.

Har jeg skimtet igennem nu + "Firewall-Friendly FTP"
ftp://ftp.isi.edu/in-notes/rfc1579.txt

> Det er den normale opførsel. Du sidder med en forbindelse til serverens
> port 21 og skriver "GET pr0n.mpg", derefter siger serveren til
> klienten: "Giv agt! Jeg åbner en forbindelse til dig fra mig på port
> 3180!". Ok, siger klienten så og overførslen går i gang.
> Det er den forbindelse fra serveren til klienten, din firewall fanger,
> fordi det er jo en udefrakommende forbindelse, som sådan en firewall jo
> er designet til at stoppe.
>
> Men der findes det der hedder Passive Mode. Det foregår sådan her: Du
> sidder forbundet til serveren på port 21 og skriver "GET pr0n.mpg".
> Derefter siger klienten til serveren: "Jeg åbner lige en forbindelse fra
> mig til dig på port 3875!". "Ok!" Siger serveren.

Passiv mode:
Mener de to beskrivelser er omvendt m.h.t. hvem (klient/server) der
accepterer hvad:
idet når klienten sender en PASV Command => server
åbner en passiv tcp forbindelse på en tilfældig port. Klienten skal så
acceptere
den af serveren givne port. Klienten åbner derefter aktivt for porten.

Men så:
Så er det en klientopsætning at få klienten til at sende en PASV command,
men det
kan jo ikke gå ud fra, at klienterne sættes op til. Der skal så gøres et
eller andet
på serverniveau og/eller firewallniveau, men hvad ?? Håber på indlæg fra
andre,
der har det til at køre.

Men da jeg konfigurede vort SOHO77 router her i firmaet, da skulle jeg bare
åbne for port 21 og ikke andet - gad vide om routeren bare accepterer en
port
givet af klienten og ikke en port givet af serveren som ved passivmode.

Hilsen Torben Brøndum






Torben Brøndum (02-09-2001)
Kommentar
Fra : Torben Brøndum


Dato : 02-09-01 14:08

Hej igen alle - håber ikke I er gået på ferie
mvh Torben Brøndum

"Torben Brøndum" <tbr@henning-poulsen.dk> wrote in message
news:jfsj7.20793$3q.705145@news010.worldonline.dk...
>
> "Christian Andersen" <hypvxo28u85zyj001@sneakemail.com> skrev
>
> > Læs RFC'en for FTP.
>
> Har jeg skimtet igennem nu + "Firewall-Friendly FTP"
> ftp://ftp.isi.edu/in-notes/rfc1579.txt
>
> > Det er den normale opførsel. Du sidder med en forbindelse til serverens
> > port 21 og skriver "GET pr0n.mpg", derefter siger serveren til
> > klienten: "Giv agt! Jeg åbner en forbindelse til dig fra mig på port
> > 3180!". Ok, siger klienten så og overførslen går i gang.
> > Det er den forbindelse fra serveren til klienten, din firewall fanger,
> > fordi det er jo en udefrakommende forbindelse, som sådan en firewall jo
> > er designet til at stoppe.
> >
> > Men der findes det der hedder Passive Mode. Det foregår sådan her: Du
> > sidder forbundet til serveren på port 21 og skriver "GET pr0n.mpg".
> > Derefter siger klienten til serveren: "Jeg åbner lige en forbindelse fra
> > mig til dig på port 3875!". "Ok!" Siger serveren.
>
> Passiv mode:
> Mener de to beskrivelser er omvendt m.h.t. hvem (klient/server) der
> accepterer hvad:
> idet når klienten sender en PASV Command => server
> åbner en passiv tcp forbindelse på en tilfældig port. Klienten skal så
> acceptere
> den af serveren givne port. Klienten åbner derefter aktivt for porten.
>
> Men så:
> Så er det en klientopsætning at få klienten til at sende en PASV command,
> men det
> kan jo ikke gå ud fra, at klienterne sættes op til. Der skal så gøres et
> eller andet
> på serverniveau og/eller firewallniveau, men hvad ?? Håber på indlæg fra
> andre,
> der har det til at køre.
>
> Men da jeg konfigurede vort SOHO77 router her i firmaet, da skulle jeg
bare
> åbne for port 21 og ikke andet - gad vide om routeren bare accepterer en
> port
> givet af klienten og ikke en port givet af serveren som ved passivmode.
>
> Hilsen Torben Brøndum
>
>
>
>
>



Christian Andersen (03-09-2001)
Kommentar
Fra : Christian Andersen


Dato : 03-09-01 20:39

Torben Brøndum wrote:

[Passive Mode FTP]

> Men så:
> Så er det en klientopsætning at få klienten til at sende en PASV command,
> men det kan jo ikke gå ud fra, at klienterne sættes op til.

Det kan de jo blive nødt til hvis de vil hente fra dig. Sådan lidt
firkantet sat op.

--
Nescafe - because your pets deserve the best!


Torben Brøndum (03-09-2001)
Kommentar
Fra : Torben Brøndum


Dato : 03-09-01 22:05

"Christian Andersen" wrote

> [Passive Mode FTP]
>
> > Men så:
> > Så er det en klientopsætning at få klienten til at sende en PASV
command,
> > men det kan jo ikke gå ud fra, at klienterne sættes op til.
>
> Det kan de jo blive nødt til hvis de vil hente fra dig. Sådan lidt
> firkantet sat op.

Vi er jo ligevidt: jeg skal jo stadig have nogle foruddefinerede porte
åbne som klientporte. Det ønsker jeg ikke. Hvordan tildeles de af mig
ved sessionen - via "Winmos" ? - og hvad er det nu lige (indlæg af Kim
Nielsen) ?

Jeg har altså et problem med min Norton Porsonal Firewall den skal jeg
igennem
om det så er inde- eller udefra. Porten skal bare bindes til sessionen
hvordan klares det ?

Hilsen Torben Brøndum



Christian Andersen (03-09-2001)
Kommentar
Fra : Christian Andersen


Dato : 03-09-01 23:08

Torben Brøndum wrote:

>> [Passive Mode FTP]

>> > Men så:
>> > Så er det en klientopsætning at få klienten til at sende en PASV
>> > command,
>> > men det kan jo ikke gå ud fra, at klienterne sættes op til.

>> Det kan de jo blive nødt til hvis de vil hente fra dig. Sådan lidt
>> firkantet sat op.

>Vi er jo ligevidt: jeg skal jo stadig have nogle foruddefinerede porte
>åbne som klientporte. Det ønsker jeg ikke. Hvordan tildeles de af mig
>ved sessionen - via "Winmos" ? - og hvad er det nu lige (indlæg af Kim
>Nielsen) ?

RFC 1579 - Firewall-Friendly FTP
<http://sunsite.dk/RFC/rfc/rfc1579.html>:

"If the client sends a PASV command, the server will do a passive TCP
open on some random port, and inform the client of the port number.
The client can then do an active open to establish the connection."

Sourcekoden kan måske hackes i FTP-serveren, så du selv kan bestemme
hvilken port der åbnes fra serveren, men jeg tvivler på at det er
det du vil.

>Jeg har altså et problem med min Norton Porsonal Firewall den skal jeg
>igennem
>om det så er inde- eller udefra. Porten skal bare bindes til sessionen
>hvordan klares det ?

Drop Norton. Få en "stateful" firewall. En firewall der kan kende
forskel på allerede initierede TCP-forbindelser og nye, ved at kigge på
SYN / ACK-bitten. Desværre koster de knaster.

Men udover en "stateful" firewall findes der kun løsningen med en klient
der kan forstå PASV-kommandoen. Det kan alle nyere FTP-klienter og
servere.

Hvis en evt. firewall ikke vil tillade en outbound forbindelse fra
FTP-klienten til den FTP-server der allerede _er_ etableret forbindelse
til, er firewallen i stykker.

--
Nescafe - because your pets deserve the best!


Torben Brøndum (04-09-2001)
Kommentar
Fra : Torben Brøndum


Dato : 04-09-01 00:18

"Christian Andersen" wrote

Tester herhjemme men Win2Ksrv / ISS 5.0 inden vi skifter i formaet. Har også
ISA klar, men ville lige arbejde med NPF inden ISA`en.

> RFC 1579 - Firewall-Friendly FTP
> <http://sunsite.dk/RFC/rfc/rfc1579.html>:

Er læst - et godt gammel skrift, men uhyre nyttigt.

> "If the client sends a PASV command, the server will do a passive TCP
> open on some random port, and inform the client of the port number.
> The client can then do an active open to establish the connection."
>
> Sourcekoden kan måske hackes i FTP-serveren, så du selv kan bestemme
> hvilken port der åbnes fra serveren, men jeg tvivler på at det er
> det du vil.

PASV command kan det anvendes / konfig i en IE - den alm. bruger aner jo
heller ikke en brik herom - så det er vel en "Stateful" firewall det hele
handler
om, som du nævner nedenfor ?

> >Jeg har altså et problem med min Norton Porsonal Firewall den skal jeg
> >igennem
> >om det så er inde- eller udefra. Porten skal bare bindes til sessionen
> >hvordan klares det ?
>
> Drop Norton. Få en "stateful" firewall. En firewall der kan kende
> forskel på allerede initierede TCP-forbindelser og nye, ved at kigge på
> SYN / ACK-bitten. Desværre koster de knaster.

ISA er vel en af mulighederne, du taler om ?

> Men udover en "stateful" firewall findes der kun løsningen med en klient
> der kan forstå PASV-kommandoen. Det kan alle nyere FTP-klienter og
> servere.

PASV mode er vel ikke standard konfig på FTP klienter om hvem (læs:
brugere) kender til det - så vel egentlig uinteressant såfremt man vil
have en FTP server kørende bortseet fra, at den naturligvis skulle
kunne acceptere en PASV command.

> Hvis en evt. firewall ikke vil tillade en outbound forbindelse fra
> FTP-klienten til den FTP-server der allerede _er_ etableret forbindelse
> til, er firewallen i stykker.

Det kan NPF såvidt jeg kan se ikke - er snart på porten.

Tak Christian for din indlæg indtil nu

Mvh Torben Brøndum




Christian Andersen (04-09-2001)
Kommentar
Fra : Christian Andersen


Dato : 04-09-01 11:11

Torben Brøndum wrote:

>> RFC 1579 - Firewall-Friendly FTP
>> <http://sunsite.dk/RFC/rfc/rfc1579.html>:

>> "If the client sends a PASV command, the server will do a passive TCP
>> open on some random port, and inform the client of the port number.
>> The client can then do an active open to establish the connection."

[...]

>PASV command kan det anvendes / konfig i en IE - den alm. bruger aner jo
>heller ikke en brik herom

Jeg aner desværre ikke om IE bruger passiv eller aktiv FTP. Jeg selv
sidder på Linux.

Men jeg mener at kunne huske at man kan sætte IE op til at bruge passiv
/ aktiv FTP, men så er vi jo igen tilbage til at brugerne skal ind og
pille.

>- så det er vel en "Stateful" firewall det hele handler om, som du nævner
> nedenfor ?

Jeg har i faktisk alle mine svar gået ud fra at det var klienten der sad
bag en firewall.

Forresten, selv om vi sikkert allerede er enige om hvad klient og server
dækker over, må vi hellere blive enige så vi ved at vi snakker om det
samme.

En /klient/ er en computer der forbinder til en /server/, der udbyder en
bestemt tjeneste, i dette tilfælde FTP-adgang.

Godt så.

Hvis det er serveren der sidder bag en firewall (som jeg nu efter
grundig gennemlæsning af tråden kan se er tilfældet), så skal du bare
i din firewall (stateful eller ej), tillade din FTP-server at modtage
pakker udefra på (lokal) port 20. Stadigvæk under forudsætning af at
der anvendes passiv FTP.

Hvis der anvendes "aktiv FTP" er problemstillingen anderledes. Så skal
du tillade at din FTP-server forbinder ud til verden til tilfældige
IP-adresser og tilfældige portnumre, men fra (lokal) port 20.

>> forskel på allerede initierede TCP-forbindelser og nye, ved at kigge på
>> SYN / ACK-bitten. Desværre koster de knaster.

>ISA er vel en af mulighederne, du taler om ?

Jeg kender ikke ISA?

--
Nescafe - because your pets deserve the best!


Kent Friis (04-09-2001)
Kommentar
Fra : Kent Friis


Dato : 04-09-01 18:27

Den 03 Sep 2001 22:07:49 GMT skrev Christian Andersen:
>
>Drop Norton. Få en "stateful" firewall. En firewall der kan kende
>forskel på allerede initierede TCP-forbindelser og nye, ved at kigge på
>SYN / ACK-bitten. Desværre koster de knaster.

Jeg har da ikke givet noget for min stateful firewall - udover den tid
det tog at downloade...

Jeg kører dog ikke med FTP tracking[1], da jeg sagtens kan nøjes med
passive mode til den smule anon-ftp jeg skal bruge. Og alt andet kører
jo vha. scp nutildags.

Mvh
Kent

[1] FTP tracking er understøttet, det er blot mit valg ikke at benytte
den feature.
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^

Christian Andersen (04-09-2001)
Kommentar
Fra : Christian Andersen


Dato : 04-09-01 18:44

Kent Friis wrote:

>>Drop Norton. Få en "stateful" firewall. En firewall der kan kende
>>forskel på allerede initierede TCP-forbindelser og nye, ved at kigge på
>>SYN / ACK-bitten. Desværre koster de knaster.

>Jeg har da ikke givet noget for min stateful firewall - udover den tid
>det tog at downloade...

Ok. My bad.

--
Nescafe - because your pets deserve the best!


Torben Brøndum (04-09-2001)
Kommentar
Fra : Torben Brøndum


Dato : 04-09-01 23:06

"Kent Friis" <kfr@fleggaard.dk> wrote

> Jeg har da ikke givet noget for min stateful firewall - udover den tid
> det tog at downloade...

Kan jeg være med på et link ?

> Jeg kører dog ikke med FTP tracking[1], da jeg sagtens kan nøjes med
> passive mode til den smule anon-ftp jeg skal bruge. Og alt andet kører
> jo vha. scp nutildags.

FTP-tracking => active session ?

Du har valgt - FTP-tracking => du ikke får problemer med firewalls
rundt omkring?

Hvad er "scp" ?

Men altså, hvis FTP udbyder ikke åbner for den forespurgte dataport
ligegyldig anvendlese af passiv/aktiv mode så er vel alt ligegyldig for dig
som klient -
det er bare lettere at tro på at få noget ved PASV command (outgoing seet
fra server).

Venligst Torben Brøndum




Kim Nielsen (05-09-2001)
Kommentar
Fra : Kim Nielsen


Dato : 05-09-01 07:34

"Torben Brøndum" wrote:
>
> > Jeg har da ikke givet noget for min stateful firewall - udover den tid
> > det tog at downloade...
>
> Kan jeg være med på et link ?
http://netfilter.samba.org

>
> Hvad er "scp" ?
Er et kopiering værktøj der følger med openssh (ssh) der kopiere via en
ssl krypteret forbindelse. lækkert værktøj

/Kim

Torben Brøndum (05-09-2001)
Kommentar
Fra : Torben Brøndum


Dato : 05-09-01 15:59


"Kim Nielsen" <knielsen@proventum-solutions.net> wrote

> > Kan jeg være med på et link ?
> http://netfilter.samba.org

Nå ja men NT min ven, NT (Win2Ksrv)...

Mvh. Torben Brøndum




Kent Friis (05-09-2001)
Kommentar
Fra : Kent Friis


Dato : 05-09-01 19:29

Den Wed, 5 Sep 2001 16:59:19 +0200 skrev Torben Brøndum:
>
>"Kim Nielsen" <knielsen@proventum-solutions.net> wrote
>
>> > Kan jeg være med på et link ?
>> http://netfilter.samba.org
>
>Nå ja men NT min ven, NT (Win2Ksrv)...

Bør altid stå BAG[1] en firewall - helst en PIX eller bedre[2].

Mvh
Kent

[1] En software-firewall lokalt på maskinen betragter jeg ikke som at
maskinen står bag en firewall. Der skal være tale om en separat boks.
(En gammel 486/33/16MB/540MB er rigeligt til linux).

[2] På en god dag logger min lokale (netfilter) firewall 2-3 pakker
der er strøget tværs igennem vores PIX - på en dårlig er det et par
hundrede. Og jeg sidder endda på en 10.0.0.0/8 nr...
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

Asbjorn Hojmark (06-09-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 06-09-01 00:06

On Wed, 5 Sep 2001 18:28:37 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:

> [1] En software-firewall lokalt på maskinen betragter jeg ikke som at
> maskinen står bag en firewall. Der skal være tale om en separat boks.

Helt enig. Klient-firewalls kan have deres berettigelse til
telecommuters, men bør ikke bruges til at beskytte servere eller
hele netværk.

> [2] På en god dag logger min lokale (netfilter) firewall 2-3 pakker
> der er strøget tværs igennem vores PIX - på en dårlig er det et par
> hundrede. Og jeg sidder endda på en 10.0.0.0/8 nr...

Det lyder som om, du har konfigureret din PIX uhensigtsmæssigt.

-A
--
http://www.hojmark.org/

Kent Friis (06-09-2001)
Kommentar
Fra : Kent Friis


Dato : 06-09-01 15:55

Den Thu, 06 Sep 2001 01:06:06 +0200 skrev Asbjorn Hojmark:
>On Wed, 5 Sep 2001 18:28:37 +0000 (UTC), kfr@fleggaard.dk (Kent
>Friis) wrote:
>
>> [1] En software-firewall lokalt på maskinen betragter jeg ikke som at
>> maskinen står bag en firewall. Der skal være tale om en separat boks.
>
>Helt enig. Klient-firewalls kan have deres berettigelse til
>telecommuters, men bør ikke bruges til at beskytte servere eller
>hele netværk.
>
>> [2] På en god dag logger min lokale (netfilter) firewall 2-3 pakker
>> der er strøget tværs igennem vores PIX - på en dårlig er det et par
>> hundrede. Og jeg sidder endda på en 10.0.0.0/8 nr...
>
>Det lyder som om, du har konfigureret din PIX uhensigtsmæssigt.

Det er heldigvis ikke mig der har konfigureret den (og heller ikke min).

Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^

Torben Brøndum (06-09-2001)
Kommentar
Fra : Torben Brøndum


Dato : 06-09-01 22:09


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote

> Det lyder som om, du har konfigureret din PIX uhensigtsmæssigt.

Nå Asbjørn, hvad har de gode mennesker konfigureret i PIX´en ?
Skla lige siges, at jeg kender intet til PIX (desværre), men vil gerne
høre fra dig, hvad der så er galt. Der er åbenbart mange problemer
mange steder

Hilsen Torben Brøndum




Asbjorn Hojmark (06-09-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 06-09-01 23:29

On Thu, 6 Sep 2001 23:09:19 +0200, "Torben Brøndum"
<tbr@torben-broendum.dk> wrote:

>> Det lyder som om, du har konfigureret din PIX uhensigtsmæssigt.

> Nå Asbjørn, hvad har de gode mennesker konfigureret i PIX´en ?

Det er jo svært at se herfra. Men hvis den slipper uønsket trafik
igennem, så er den fejlkonfigureret. En firewall-setup med en PIX
kan laves meget, meget sikkert.

Ja, jeg har lavet den slags mange gange, og flere gange fået
testet det af 3.part. Det kan konfigureres stort set lige så
sikkert, som man kan ønske sig.

-A
--
http://www.hojmark.org/

Lars Kim Lund (06-09-2001)
Kommentar
Fra : Lars Kim Lund


Dato : 06-09-01 23:35

Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>

>Det er jo svært at se herfra. Men hvis den slipper uønsket trafik
>igennem, så er den fejlkonfigureret. En firewall-setup med en PIX
>kan laves meget, meget sikkert.

Eller med andre ord. En firewall er ikke bedre end personen der sætter
den op. Der er stort set intet værre end en dårligt konfigureret
firewall i den forstand at falsk sikkerhed er værre end ingen
sikkerhed.

--
Lars Kim Lund
http://www.net-faq.dk/

Kent Friis (05-09-2001)
Kommentar
Fra : Kent Friis


Dato : 05-09-01 19:21

Den Wed, 05 Sep 2001 08:33:44 +0200 skrev Kim Nielsen:
>"Torben Brøndum" wrote:
>>
>> > Jeg har da ikke givet noget for min stateful firewall - udover den tid
>> > det tog at downloade...
>>
>> Kan jeg være med på et link ?
>http://netfilter.samba.org
>
>>
>> Hvad er "scp" ?
>Er et kopiering værktøj der følger med openssh (ssh) der kopiere via en
>ssl krypteret forbindelse. lækkert værktøj

SSL? Mig bekendt anvender SSH stærkere kryptering end SSL.

Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

Kent Friis (05-09-2001)
Kommentar
Fra : Kent Friis


Dato : 05-09-01 19:24

Den Wed, 5 Sep 2001 00:06:26 +0200 skrev Torben Brøndum:
>"Kent Friis" <kfr@fleggaard.dk> wrote
>
>> Jeg har da ikke givet noget for min stateful firewall - udover den tid
>> det tog at downloade...
>
>Kan jeg være med på et link ?
>
>> Jeg kører dog ikke med FTP tracking[1], da jeg sagtens kan nøjes med
>> passive mode til den smule anon-ftp jeg skal bruge. Og alt andet kører
>> jo vha. scp nutildags.
>
>FTP-tracking => active session ?
>
>Du har valgt - FTP-tracking => du ikke får problemer med firewalls
>rundt omkring?

Nu bruger jeg kun maskinen som klient.

Hvis jeg kørte en ftp-server, ville jeg nok slå FTP tracking til, eller
fjerne firewall'en helt (FTP ville alligevel være den største sikkerheds
risiko).

>Hvad er "scp" ?
>
>Men altså, hvis FTP udbyder ikke åbner for den forespurgte dataport
>ligegyldig anvendlese af passiv/aktiv mode så er vel alt ligegyldig for dig
>som klient -
>det er bare lettere at tro på at få noget ved PASV command (outgoing seet
>fra server).

Hvis der er to firewalls imellem (klient + server), så hjælper det
naturligvis ikke at klientens firewall kører med FTP-tracking hvis
serveres firewall blokerer.

Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

Alex Holst (04-09-2001)
Kommentar
Fra : Alex Holst


Dato : 04-09-01 10:51

Torben Brøndum <tbr@torben-broendum.dk> wrote:
> "Christian Andersen" wrote
>
>> [Passive Mode FTP]
>> Det kan de jo blive nødt til hvis de vil hente fra dig. Sådan lidt
>> firkantet sat op.
>
> Vi er jo ligevidt: jeg skal jo stadig have nogle foruddefinerede porte
> åbne som klientporte. Det ønsker jeg ikke.

Saa er der jo ikke noget at diskutere. FTP kan ikke bruges i dit miljoe.
Brug HTTP eller en anden protokol der ikke lider af de samme problemer som
FTP.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste