--------- Mensagem Original -------- De: "Luciano Brand�o Cruz - 4COM"
> Host A -------FreeBSD ----------Host B > conex�o FTP do A para O B (modo passivo) > Ipfw add allow log tcp from host A to host B 21 > Ipfw add allow log tcp from host b 20 to host a > portas altas.... O que devo fazer para que d� certo ?!?!?!?!?!!? Luciano, boa noite. O que voce deve fazer eh entender o protocolo FTP. Uma boa maneira eh dando uma geral em algunas RFCs. Isso porque nao existe 1 solucao para todos os problemas, nem uma solucao que nao seja exclusiva 'a outra. Voce deve considerar o ambiente da sua rede para decidir que tipo de conexao voce quer permitir. Isso envolve saber que tipos de clientes e servidores FTP voce espera usar. Simples, nem todos funcionam da mesma maneira. Clientes ftp "legais" por exemplo, nao ficam mandando ack nas portas pra iniciar conexao passiva. Isso permite que voce faca um firewall stateful restringindo determinado range de portas apenas a conexoes ja estabelecidas. Nao eh o caso por exemplo do cliente builtin do IE da Microsft hehe. Por outro lado alguns servidores ftp obedecem o range de high-ports (como o ftpd nativo do freebsd) definido pela IANA (IANA DRAFTS). Pode ser uma alternativa. Depende do quao confiavel eh a rede q vc vai permitir. Outros ftp servers permitem definir o range de portas onde eles negociarao as conexoes. Isso eh uma boa. Mesmo os servidores que nao permitem isso, teoricamente devem obedecer as especificacoes de highport last e lowport do sistema operacional, o que voce pode definir por meio de algumas MIBs do sysctl (no FreeBSD). Enfim, tudo depende. Primeiro voce tem que prever o que voce quer, com os tipos de clientes e servidores que voce pretende atender. Depois tomar suas decisoes. Leia isso: www.faqs.org/rfcs/rfc1579.html www.faqs.org/rfcs/rfc2577.html http://www.ietf.org/internet-drafts/draft-fordh-ftp-ssl-firewall-01.txt __________________________________________________ http://www.freebsdbrasil.com.br/ _______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
