[BSD] ftp kliens PF mogott

[Zahemszky Gabor]

Gabor HALASZ írta: 

> On 2010.09.21. 23:05, Zahemszky Gábor wrote:
>>> 
>>> Passive mode-ban sehogyan, leven a pf statefull. Active modeban pedig
>> 
>> ??? 
>> 
> 
> A statefull firewall-ok (altalaban) kovetik a protokollok kommunikaciojat, 
> tehat tudjak, hogy a 21-es portra felepult kapcsolathoz tartozik egy 
> high-high kapcsolat is, es azt is atengedik.

Hát (amennyire tudom) a linuxos standard iptables, a freebsd-s ipfw és az 
ipf is "csak" ennyire stateful. Az iptablesnél  neked kell jelezned ha 
akarod az ilyen szintű követést; az ipf-nél biztosan, ipfw-nél pedig azt 
hiszem ezen Guido van Rooij-féle doksi ( 
http://www.madison-gurkha.com/publications/tcp_filtering/tcp_filtering.ps ) 
alapján történik a stateful követés. Sajnos konkrétan a pf-stateful-ságát 
nem ismerem ilyen szinten, valaki aki már nézte közelről, nyugodtan írhatna 
(Thuglife rendszeresen szokta fikázni a !OpenBSD-ben levő pf-eket, talán tud 
is valamit, ami itt hasznos lehet). 

>>> tcp_services = "{ssh, sftp, smtp, pop3, ftp, domain, ntp, www, https}"
>>> pass out on $ext_if proto tcp to any port $tcp_services
>> 
>> csak bizonyos portokra enged kifelé a tűzfal. Én arról beszélek, hogy
>> mi módon tudom megmondani a pf-nek, hogy ha már az ftp-portra egy
>> konkrét géphez kiengedett, akkor onnantól kezdve figyelje a forgalmat
>> és utána a "related" (vagy hogy mondják netfilterül) kapcsolathoz
>> nyissa meg ideiglenesen a tűzfalat.
> 
> Amennyiben itt az ftp csak annyit jelent, hogy getent services ftp, akkor 
> bizony igazad van, a pf-ben annyira en sem vagyok otthon, de nagyjabol 

Sajnos(?) ez bizony itt szigorúan csak annyit jelent. konkrétan a 22-es 
port-ra, a 25-ösre, a ... a 21-re kiengedünk. Tehát nem az ftp-protokolhoz 
tartozó portokra, hanem a 21-re. 

> ugyanarrol beszelunk, csak mashogyan. Amennyiben a csak annyira statefull, 
> hogy koveti a tcp handshake-et, akkor az keves.

Igen, lásd a fenti GvR-doksit. (Ja pf-nél nem biztos.) 

Zahy < Gabor at Zaheszky dot HU >