[BSD] ftp kliens PF mogott

[Gabor HALASZ]

On 2010.09.21. 23:05, Zahemszky Gábor wrote:
>>
>> Passive mode-ban sehogyan, leven a pf statefull. Active modeban pedig
>
> ???
>

A statefull firewall-ok (altalaban) kovetik a protokollok 
kommunikaciojat, tehat tudjak, hogy a 21-es portra felepult kapcsolathoz 
tartozik egy high-high kapcsolat is, es azt is atengedik.

>> tcp_services = "{ssh, sftp, smtp, pop3, ftp, domain, ntp, www, https}"
>> pass out on $ext_if proto tcp to any port $tcp_services
>
> csak bizonyos portokra enged kifelé a tűzfal. Én arról beszélek, hogy
> mi módon tudom megmondani a pf-nek, hogy ha már az ftp-portra egy
> konkrét géphez kiengedett, akkor onnantól kezdve figyelje a forgalmat
> és utána a "related" (vagy hogy mondják netfilterül) kapcsolathoz
> nyissa meg ideiglenesen a tűzfalat.

Amennyiben itt az ftp csak annyit jelent, hogy getent services ftp, 
akkor bizony igazad van, a pf-ben annyira en sem vagyok otthon, de 
nagyjabol ugyanarrol beszelunk, csak mashogyan. Amennyiben a csak 
annyira statefull, hogy koveti a tcp handshake-et, akkor az keves.


-- 
Gabor HALASZ <halasz.g at freemail.hu>