[BSD] ftp kliens PF mogott

2010. Sze. 22., Sze, 18:31:42 CEST

On Tue, Sep 21, 2010 at 08:54:49PM +0200, Gabor HALASZ wrote:
> 2010.09.21. 19:37 keltezéssel, Istvan Galgand írta:
> 
> >>
> >>Ez esetben a probalkozas felesleges, a koncepciod hibas.
> >
> >Tényleg nem működik. A Gábor féle .netrc sem segít.
> 
> Az csak az 500-as uzenetet tunteti el..
> 
> >Most már csak azt nem értem, hogy miért találtam a neten a téma
> >megoldására rengeteg anyagot. Egyikkel sem értem el sikert, csak
> >elpocsékoltam kb. egy hetet.
> >Akkor egyelőre ftp-zés előtt pfctl -d és máris surrognak a byte-ok.
> >Ez is egy megoldás...
> 

Úgy néz ki, találtam a probléma elfedése helyett egy jobb megoldást:

pfctl -s all | more
FILTER RULES:
scrub in all fragment reassemble
block return in all
pass out all flags S/SA keep state
block drop in quick on ! lo inet6 from ::1 to any
block drop in quick on ! lo inet from 127.0.0.0/8 to any
block drop in quick on lo0 inet6 from fe80::1 to any
block drop in quick inet6 from ::1 to any
block drop in quick inet from 127.0.0.1 to any
block drop in quick on ! alc0 inet from 192.168.1.0/24 to any
block drop in quick inet from 192.168.1.95 to any
pass in quick on alc0 proto tcp from any to (alc0) port = ftp flags S/SA
keep st
ate
pass in quick on alc0 proto tcp from any to (alc0) port > 49151 flags S/SA
keep
state
pass in quick on alc0 proto tcp from any port > 10000 to (alc0) flags S/SA
keep
state
pass in on alc0 inet proto tcp from any to (alc0) port = ssh flags S/SA
keep sta
te
pass in on alc0 inet proto tcp from any to (alc0) port = auth flags S/SA
keep st
ate
pass quick on alc0 all no state

Ezt csak azért idéztem be, lássátok, tényleg működik egy PF tűzfal.

Utána:

[igalgand at freebsd02 ~]$ ftp -a ftp.freebsd.org
Trying 204.152.184.73...
Connected to ftp.freebsd.org.
220 Welcome to freebsd.isc.org.
331 Please specify the password.
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
Remote directory: /
ftp> ls -l
229 Entering Extended Passive Mode (|||9854|).
150 Here comes the directory listing.
drwxrwxr-x    3 110      1002          512 Oct 23  2006 pub
226 Directory send OK.
ftp>

Tehát működik a data csatorna is. Rövid a pf.conf, de elsőre csak az
ftp-re vonatkozó sorokat illesztem be:

pass in quick on $ext_if proto tcp from any to ($ext_if) port 21
pass in quick on $ext_if proto tcp from any to ($ext_if) port > 49151
pass in quick on $ext_if proto tcp from any port > 10000 to ($ext_if)

Azért még nem adom fel az ftp-proxy-s megoldást sem, ha esetleg működik,
jelentkezem.

Üdv: István

-- 
This mail was sent by Mutt-1.4.2.3_4,
FreeBSD 8.1-RELEASE-#0, GENERIC i386