» Диапазон портов для пассивного режима ftp

TechSup

Надеюсь, что для вас полезное зерно в дискуссии таки было: для того чтобы раздавать activ FTP - 21 in/out port > 1024 + 20 out port >1024; passv FTP - 21 in/out port > 1024 + не помню точно, но по моему у @guard-а были рулзы для application соответственно, serv-U разрешить inp c портов > 1024 на тот диапазон портов который вы указали в настройках Serv-U. (Могу где нибудь хомутнуть с номерами портов plz г-да ooptimum и UncoNNecteD проверьте)

ooptimum
Все правильно вы излагаете, но

Цитата:

Если бы ты пытался использовать активную ftp сессию не с того же компьютера, где установлен WinRoute, а с любого другого за ним, у тебя бы ничего не вышло. Тоже медицинский факт.

WinRoute стоит в нашей виндовой сетке на gateway-е, а никак не на моей машине которая понятно не обладает ни каким реал ip.
Единственно, против чего точно буду протестовать, это я по ходу дисскусии стал певцом Winroute, так это не так : софтинки более похабно обращающейся с win стеком я не знаю, более того вот сквозь него passv FTP (не смотря на заверения производителя) настроить не удалось (проблема с руками IMHO тоже возможна). И, собственно, почему UncoNNecteD молчит, уж он то в преддверии сертификации, наверное мог привести пример файрволла, нормально поддерживающего passv FTP.
PS выше IMHO я привел линки из которых следует, что это возможно и поддерживается, повторюсь что с NAT IPSec-а проблем, из-за того проверяется целостность пакета, на порядок больше.

2SurfKoba
Ты прав, в гарде были рулзы для applications, можно не парится и настроить простое правило a la Serv-U locallhost.localdomain <- ANY.
В итоге клиент переключается в PASV, договаривается PORT, сервер слушает порт, клиент делает connect на порт гард проверяет процесс слушающий данный порт - процесс Serv-U, правило пройдено...пассивный режим и никакого мега анализа протокола FTP..
Эта фишка стара как сам AtGuard и всегда работала. Куча брандмауэров наверника это могут.. как собственно и выделение диапазона портов в FTP-серверах, во всяком случае WU-FTPD так точно...


Добавлено

Цитата:

Я не согласен что надо на брандмауэе все открыть и ставить на каждую клиентскую тачку персональные файрволы. Это глупость и утопия.

Я позволю себе согласится с UncoNNecteD..
Сдается мнеooptimum малость поторопился... исходить надо из худшего.. в конце концов не буду доказывать - RTFM...
Хотя может он просто неутомимый оптимист :-)

Ну пример я привел, из CISCO это именно PIX Firewall.

UncoNNecteD

Цитата:

Я говорю не о персональных файрволах, а именно о файрволах которые ставятся на брандмауэры.

Если мы решали проблему TechSup, то у него именно персональный файрвол.

Цитата:

Я не согласен что надо на брандмауэе все открыть

Ну ты можешь все закрыть, но толку от того чуть. Я говорю именно про те порты на внешнем интерфейсе машины с файрволом, на которых не висят никакие сервисы/демоны в диапазоне номеров >1023.

Цитата:

и ставить на каждую клиентскую тачку персональные файрволы. Это глупость и утопия.

Конечно глупость и утопия. А где я писал, что надо пользоваться персональными файрволами в сети, защищенной корпоративным файрволом? К чему ты это вообще написал?

SurfKoba

Цитата:

WinRoute стоит в нашей виндовой сетке на gateway-е, а никак не на моей машине которая понятно не обладает ни каким реал ip.
...
сквозь него passv FTP (не смотря на заверения производителя) настроить не удалось (проблема с руками IMHO тоже возможна).

Я еще раз утверждаю, что ftp-клиент не может работать в активном режиме в тех условиях, которые ты описываешь. Т.е. через NAT, а не прокси в WinRoute. Я писал свои собственные telnet и ftp сервера и знаю про эти протоколы если не все, то очень многое. Ты в чем-то заблуждаешься. Попробую объяснить еще раз, почему это невозможно. Все твои локальные ftp клиенты видны внешнему ftp серверу как имеющие адрес внешнего интерфейса твоего шлюза из локалки в Интернет. В активном режиме соединение данных (c порта 20) инициируется ftp сервером. Само-собой, что это соединение он устанавливает с тем адресом, на котором он видит клиента, т.е. с твоим шлюзом, на котором стоит NAT. Записи о этом соединении в таблице трансляции нет, ибо оно инициировано извне. Так что делать твоему шлюзу с этим соединением, раз нет такой записи и нет переадресации портов? Как он может догадаться куда он должен перенаправить эти пакеты? Твой клиент никогда не дождется соединения данных с ftp сервера, потому что WinRoute просто не знает, что ему делать с этим соединением, т.к. он не знает кто его ждет.

Kizalcoatl

Цитата:

Я позволю себе согласится с UncoNNecteD..

Ты знаешь, я тоже. Бо я никогда не утверждал того, с чем он позволяет себе не соглашаться.

Цитата:

Сдается мнеooptimum малость поторопился... исходить надо из худшего.. в конце концов не буду доказывать - RTFM...
Хотя может он просто неутомимый оптимист

С чем я поторопился, коллега? И какую TFM ты предлагаешь мне R? Я оптимист. Но я многознающий оптимист. Т.е. на самом деле я пессимист. Те, кто следили за моими постами в течение некоторого времени, наверняка заметили это. Тот же UncoNNecteD наверное...

TechSup
Я эту же проблему решил разрешением на выполнение любых действий Serv-U в политике файрволла.

ooptimum

Цитата:

Если мы решали проблему TechSup, то у него именно персональный файрвол.

Ты пролистай свои посты! Ты первый перевел речь на брандмауэры!

Цитата:

Ну ты можешь все закрыть, но толку от того чуть. Я говорю именно про те порты на внешнем интерфейсе машины с файрволом, на которых не висят никакие сервисы/демоны в диапазоне номеров >1023.

Цитата:

А где я писал, что надо пользоваться персональными файрволами в сети, защищенной корпоративным файрволом?

Ну примерно тут....

Цитата:

Если ты настаиваешь на том, что надо закрывать все порты, то я настаиваю на том, что это имеет смысл только для защиты машины на которой, собственно, этот брендмауэр и установлен, т.е. в подавляющем большинстве случаев это наверняка будет какой-то personal firewall на машине конечного пользователя

Может ты просто путаешься в терминах?

Добавлено
А TechSup'у надо просто воспользоватся преимуществом персонального файрвола распозновать приложение активизируещее сокет.

UncoNNecteD

Цитата:

Ты пролистай свои посты! Ты первый перевел речь на брандмауэры!

Cool down, buddy. Брандмауэр и файрвол -- это одно и то же, но на разных языках. Просто я предпочитаю пользоваться теми терминами, которым есть аналоги в русском языке, который люблю и уважаю. Т.е. вместо "роутер" я говорю "маршрутизатор", вместо "свитч" я говорю "коммутатор", вместо "файрвол" я говорю "брандмауэр". Просто так сложилось, что в русском языке много заимствований из немецкого, к которым мы давно привыкли, те же "вокзал", "тарелка" или хотя бы "брандмейстер", так зачем менять их на что-то еще? Ведь ты не говоришь "диш" вместо "тарелка", да?


Цитата:

Ну примерно тут....

Перевожу с русского на понятный. В приведенной тобой цитате речь шла о том, что нет большого смысла закрывать неиспользуемые порты (#>1023) на корпоративном брандмауэре или, если тебе так угодно, файрволе, потому что это не может быть использовано для вторжения ни в сам компьютер-бастион, ни в защищаемую им сеть. Делать это (закрывать все порты) имеет смысл только на персональном брандмауэре (файрволе), защищающем один компьютер с чайником на борту.

Цитата:

Может ты просто путаешься в терминах?

Похоже, что как раз ты путаешься в них.


Добавлено
Чтобы предотвратить дальнейшие лингвистические споры, напишу, что все желающие могут убедиться в справедливости формулы "файрвол=брандмауэр" пойдя по ссылке http://lingvo.yandex.ru/cgi-bin/lingvo.pl?text=firewall . Для ленивых привожу ту же информацию здесь.

Цитата:

firewall (Словарь: Компьютерный англ.)

брандмауэр (аппаратно-программные средства межсетевой защиты)

Цитата:

аппаратно-программные средства межсетевой защиты

Хех, это типа коробочки с кнопочкой которая отрубает все 4 пары у юзера?
Где ты видел аппаратный метод защиты персонального юзера?
Межсетевой?
Короче тут два из трех слова неверны либо не точны.
К тому же - это весьма субъективное мнение lingvo.yandex.ru.

Не ты ли вел речь о активных сессиях из-за NAT ?
В общем отмазка не принята Брэндмауэр и персональный файрвол это разные вещи.
Файрвол и персональный файрвол - тем более.


Цитата:

А какая разница, что за брэндмауэром находится? Ты же открываешь порты на нем самом, а не на том, что за ним. Если никто (софт) этот порт (любой) не слушает, то любая попытка на соединение с ним будет отклонена.

Не ожидал, если честно, от тебя такого вопроса...

Цитата:

Впрочем, я повторяюсь. Другого решения нет.

Это твои слова? Научись учится новому оптимист, а то дураком помрешь

UncoNNecteD

Цитата:

Короче тут два из трех слова неверны либо не точны.

Слушай, не опускайся до уровня мелочных придирок к формулировкам. Не пытайся исказить суть, как этого можно ожидать от софистов и некоторых представителей некого известного нацменьшинства. Что бы это ни было, термины "файрвол" и "брандмауэр" обозночают это самое "это" в одинаковой степени, т.к. одно является банальным переводом другого. А уж детали реализации "этого" тут неважны, как тебе не важно, читая перевод слова "dish", какая это тарелка, глубокая или нет, фарфоровая или какая-то иная.

Цитата:

К тому же - это весьма субъективное мнение lingvo.yandex.ru.

Это не их субъективное мнение. Это -- факт, незнание которого ты пытаешься завуалировать. А расшифровку в скобках они дали для той категории людей, для которых русское слово "брандмауэр" говорит не больше, чем "файрвол". Если же тебе слово "файрвол" что-то говорит, то ты тогда должнен быть в состоянии понять, что такое "брандмауэр", коллега, и без их пояснений (несомненно не претендующих на полноту и точность описания термина).


Цитата:

Это твои слова? Научись учится новому оптимист, а то дураком помрешь

Так, ты либо объясни в чем я был не прав, а то на основании приведенных тобой цитат я не с состоянии этого понять, либо я считаю это безосновательным оскорблением и мы начинаем общаться через модераторов.

Ладно, забей, если ты считаешь что не ошибся в течении дискуссии - считай так и дальше.
Ты был прав - пусть будет так.
Я сейчас не хочу искать и придиратся к словам, ты сам все понимаешь.
Удачи!

UncoNNecteD

Цитата:

если ты считаешь что не ошибся в течении дискуссии - считай так и дальше.

Именно, я считаю, что не ошибся ни в чем в течение этой дискуссии. Я это считаю на основании своих знаний предмета и 16-летнего опыта работы с компьютерами и сетями ежедневно минимум по 10 часов. Но я не узколобый упертый тупица, чтобы не допускать, что я могу ошибаться. Но если я ошибаюсь, я ожидаю уважительного отношения к себе и внятного разъяснения в чем же я не прав. В свою очередь, я не опускаюсь до оскорблений кого бы то ни было, а пытаюсь всеми доступными способами объяснить в чем заключается ошибка, если я ее вижу. Применительно к этой дискуссии я дважды объяснял как работает ftp протокол и NAT, чтобы показать, что активная сессия из-за NAT невозможна, если брандмауэр не анализирует всю ftp сессию. Если я не прав -- объясни в чем, а не начинай давать советы типа: "научись учиться новому" и прочая... Впрочем, это пожелание общего порядка и относится ко всем, а не только к тебе.

Цитата:

Впрочем, я повторяюсь. Другого решения нет.

Это ошибка №1. Решения даже два -
1)В случае персонального файрвола на сервере открываются порты именно для приложения-сервера.
2)В случае файрвола на брандмауэре (межсетевом экране) используется интеллектуальный файрвол.


Цитата:

Ты сам-то понимаешь, что написал? Для того, чтобы открывать нужные порты, брэндмауэр должен ализировать весь трафик, идущий с/на 21 порт и быть при этом достаточно интеллектуальным, чтобы понять, что сервер переключают в пассивный режим и выделить номер порта.... ..... любой дурак посредством телнет соединения и простенького скрипта на сервере откроет любой защищаемый порт.

Это ошибка №2. Ты утверждаешь что я написал ерунду, несмотря на то что это вполне существующий факт!

Цитата:

А какая разница, что за брэндмауэром находится?

Ошибка №3.
Это далеко не все равно. Если сетка с адресацией NAT - это один случай, если с реальной - другой, если ничего то третий.

Цитата:

Давай забудем про PIX пока. В качестве стендовой возьмем следующую конфигурацию: есть брендмауэр, его внешний адрес -- 212.110.0.1, а внутренний -- 192.168.0.1. За брендмауэром локалка, а в ней на компьютере с адресом 192.168.0.2 кто-то поставил Back Orifice. Брендмауэр не закрывает порт 31337 на внешнем интерфейсе. Как ты можешь, зная все эти факты, получить доступ извне к Back Orific'у на машине 192.168.0.2?

Ошибка №4. Мы говорили о сервере FTP за фарволом, ты вдруг перескакиваешь на сетку с локальной адресацией - там не может быть локальной адресации если стоит passive FTP server.


Цитата:

На остальных брендмауэрах же, отделяющих сети друг от друга, а не хост от сети (т.е. не персональных), закрывать все неактивные порты (на которых ничего не висит или не должно висеть на самом брендмауэре) нет никакого смысла, бо они абсолютно useless на предмет соединения с чем бы то ни было.

Ошибка 5. Отнюдь не useless, ты просто не работал в сетях публичного доступа где за каждым портом надо следить и адресация внутри сети далеко не локальная (например за файрволом стоит площадка серверов).

Еще твои ошибки это считание себя самого "гуро" для себя самого и хвалится (маскироваться) собственным стажем работы в сетях.

В качестве примера - у меня стаж водителя чуть больше года, однако я проездил за это время 45000 км по Москве и МСК области. А у моего соседа - 8 лет и 20000 по дорогам деревень под НСО.

UncoNNecteD
Хорошо, что ты вернулся в русло конструктивной беседы. Okey, давай займемся работой над ошибками.

Цитата:

Это ошибка №1. Решения даже два -
1)В случае персонального файрвола на сервере открываются порты именно для приложения-сервера.
2)В случае файрвола на брандмауэре (межсетевом экране) используется интеллектуальный файрвол

На самом деле я писал:

Цитата:

Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету, такие как M$ SQL, WINS, Radius и т.д. Впрочем, я повторяюсь. Другого решения нет.

Решение, предложенное мной, -- держать необходимые ftp-серверу порты открытыми. "Другого решения нет" тут относится именно к этой необходимости. А какие порты будут открыты, все или диапазон, -- это уже детали. Я предлагаю не закрывать эти порты вообще, если на них никакие сервисы не ожидают соединения, т.е. они свободны. Ты предлагаешь, как я понимаю, закрыть все и открыть только то, что нужно. Что ж, обе т.з. имеют право на существование и какая будет выбрана -- зависит от обстоятельств. Если бы я знал, что в Serv-U можно задавать диапазон портов, отдаваемых в пассивном режиме, то несомненно смог бы дать более точный совет. Но то, что мой совет был более общим, не значит, что он не верен и не поможет решить проблему. Насчет интеллектуального файрвола -- ты знаешь, мне почему-то сразу пришло в голову, что его файрвол не интеллектуальный, и в итоге так и оказалось. В чем ошибка? Позволю себе напомнить, что мы решали конкретную проблему конкретного человека, а не занимались академическим дискутированием на тему файрволов вообще. И не пиши:
"файрвол на брандмауэре" -- это звучит как "масло масляное". По крайней мере для тех, кто знает, что это одно и то же.


Цитата:

Это ошибка №2. Ты утверждаешь что я написал ерунду, несмотря на то что это вполне существующий факт!

"Ты сам-то понимаешь, что написал?" относилось к
Цитата:

Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту

Смайлик видел после моего вопроса? Этот вопрос никоим образом не затрагивал техническую сторону дискуссии, а относился лишь к синтаксическому стилю твоего предложения, написанного, хоть и по-русски, но забавно. Я думаю, мы не будем обсуждать далее, "работают" или нет какие-то порты "в течении сессии по 21му порту". Далее. Я не утверждал, что ты написал ерунду -- это твои и только твои измышленизмы. Более того, в том же посте я писал
Цитата:

Я допускаю, что это в принципе возможно

. Даже не зная о существовании таких файрволов, я описал принцип их функционирования и возможные слабости в защите в том же самом посте. Я не знал (и не знаю до сих пор), что PIX имеет такую функциональность, но, с другой стороны, мы и не обсуждали PIX. Верно? Так в чем ошибка?


Цитата:

А какая разница, что за брэндмауэром находится?

Ошибка №3.
Это далеко не все равно. Если сетка с адресацией NAT - это один случай, если с реальной - другой, если ничего то третий.

Ты прав, что во 2м случае есть некая разница, но только в нем. Я знаю о всех этих случаях, но позволю тебе еще раз напомнить, что я говорил о неиспользуемых портах на машине с файрволлом и что мы решали конкретную проблему. Ты же пустился в общие рассуждения типа "что, если ... ?" уже после того, как я дал свой совет, применительный к данном конкретном случае. Так что это далеко не ошибка, коллега. Если же ты хочешь пообсуждать общие фопросы, связанные с защитой вообще и файрволами в частности, что ж, я буду рад.


Цитата:

Ошибка №4. Мы говорили о сервере FTP за фарволом, ты вдруг перескакиваешь на сетку с локальной адресацией - там не может быть локальной адресации если стоит passive FTP server.

Нет, в данном случае мы говорили не о ftp за файрволом. На мое утверждение о том, что нет необходимости закрывать на машине с файрволом все неиспользуемые порты ты написал:

Цитата:

Большая разница.
Ведь ты прописываешь на нем всю защиту сети - если ты хочешь защитить свою сеть как минимум от троянов сидящих на произвольном порту - ты должен их закрыть.

Про сеть заговорил ты. Я же тебе показал на воображаемом примере, что даже имея троянов в локалке с локальными адресами и файрвол с открытыми портами, ты не сумеешь этими троянами воспользоваться снаружи. В общем, та цитата, которую ты привел. По-моему, там не моя ошибка присутствует, а присутствует твое желание подтасовать факты, коллега, с целью очернить мою репутацию. Честно признайся, червячок грызет, да? Как же, ведь иначе можно подумать, что задета твоя.


Цитата:

Ошибка 5. Отнюдь не useless, ты просто не работал в сетях публичного доступа где за каждым портом надо следить и адресация внутри сети далеко не локальная (например за файрволом стоит площадка серверов).

Откуда ты знаешь, где я работал, а где нет, коллега? Да, не прав в общем случае, порты могут быть usefull не предмет соединения в твоем сценарии. Но даже в нем, если сервера за файрволом не твои, то ты вряд ли закроешь все порты. Иначе их хозяева застявят тебя каждый раз открывать те из них, которые им нужны. И однажды это надоест либо им, либо тебе, и ты все равно откроешь все. А если за файрволом сетка с локальной адресацией, то эти порты useless. Так согласен?


Цитата:

Еще твои ошибки это считание себя самого "гуро" для себя самого и хвалится (маскироваться) собственным стажем работы в сетях

Если по правде, то гуру меня считает очень большое число народу. Завтра я попрошу некоторых написать тебе об этом, раз ты сомневаешься. А стаж у меня действительно большой. И опыт тоже. Потому что это не только моя работа, а еще и главное увлечение всей моей жизни. И я писал по сколько времени я провожу за компьютерами ежедневно. Уверяю тебя, я трачу его не на чаты с порно. Почему мне надо это скрывать? Из ложной скромности? Не уверен. Я работаю в очень крупной международной организации, так вот, там не скрывают таких вещей, и если ты специалист, то ты можешь об этом прямо так и заявлять везде. А вот какой стаж у тебя? Только не надо снова этого бреда про водителей.

Цитата:

Честно признайся, червячок грызет, да?

Не страдаю


Цитата:

Решение, предложенное мной,

Цитата:

Другого решения нет.

Цитата:

Что ж, обе т.з. имеют право на существование

Нелогично - не так ли?
Я предложил ДВА других решения. И одно из них наиболее правильно.

ooptimum
Я вижу ты просто незнаком с принципами построения защиты сетей.
Продолжай ставить каждому юзеру персональный файрвол.

Добавлено
По поводу стажа - я 8 лет в компьютерной индустрии.

UncoNNecteD

Цитата:

Нелогично - не так ли?
Я предложил ДВА других решения. И одно из них наиболее правильно.

По-моему я достаточно внятно объяснил тебе, к чему относилась фраза "другого решения нет" -- к открытию портов. Или ты хочешь сказать, что есть решение этой проблемы, не связанное с открытием портов? Поначалу ты предложил использовать интеллектуальный файрвол. Ok, но назови навскидку хоть один персональный файрвол, анализирующий ftp-сессии. По крайней мере, я не знаю ни одного такого. А ты? И мой совет был универсальным, т.е. он будет работать с любым файрволом. Затем ты вспомнил про PIX, хотя TechSup уже к тому времени давно написал:

Цитата:

Имеется комп (простой такой комп на АДСЛе). Ну и как всякому нормальному человеку мне захотелось организовать на нём фтп сервачёк. Музыкой с друзьями обмнениваться, пятое-десятое...

Я думаю, что ни один человек в здравом уме и трезвой памяти не будет приобретать PIX, чтобы "музыкой с друзьями обмнениваться, пятое-десятое..." с "простого такого компа на АДСЛе". Так что и это твое решение не в кассу, хотя, несомненно, и будет работать в других условиях.

Цитата:

Я вижу ты просто незнаком с принципами построения защиты сетей.
Продолжай ставить каждому юзеру персональный файрвол.

Я никогда не ставлю каждому каждому юзеру персональный файрвол, мистер знаток принципов. Это твои досужие вымыслы, высосаные из пальца. Более того, я всегда их сношу к едрене-фене если они есть.

Цитата:

я 8 лет в компьютерной индустрии

Я надаюсь, что ко времени удвоения этого срока ты усвоишь одну простую истину, гласящую, что лучшее -- враг хорошего. А пока же, я чувствую, она еще далека от восприятия тобой.

Цитата:

От меня много чего можно ожидать

Воистину.

To ooptimum
В связи с тем что происходящее никакого отношения собственно к предмету темы уже не имеет (TechSup ответ получил) я вам отвечу в PM.

Друзья! Приятно смотреть на спор спецов. Если можно - чуть поменьше эмоций.

есть два сервера (win) и (bsd)
ftp стоит на (win) сервере, снаружи видет только (bsd)
на (bsd) поставил portfwd и перекинул порты 20,21 на (win)
в итоге: начинается подключение к серверу ftp снаружи, сервер находится, пароль проверяется, начинается загрузка списка папок и виснет, дальше ничего не происходит
пробовал оба режима, не получается.. в чем проблема?

Полетела network administrator 6, где скачать с лекарством помогите, а то пишу в тетрадь(не удобно)Плиз!!!! ТО ЕСТЬ ПРОГА, НЕТ КРЕКА, ТО КРЕК БЕЗ ПРОГИ СООТВЕТСТВУЮЩЕЙ ВЕРСИИ, ТО ОДНО ТО ДРУГОЕ. ПОМОГТЕ!!!!!