Архив форумов ЦИТФорума

[live&learn]

Мой файрволл закрывает все, и я открываю себе только нужные порты.
Вопросы:
1 .Хочу открыть фтп для своих пользователей во внешний мир. Открываю 20-й и 21-й: работает все, кроме чтения каталогов на удаленном компе. Смотрю сниффером: для ls на удаленном сервере открываются какие-то мутные порты >1024. Почему фтп для чтения каталогов не пользует тот же 20, 21 ???

2. Безопасно ли открыть ТСП и УДП from any to any для портов 1024-65535 на инет-шлюзе? Выход в мир через masq.

3. Безопасно ли открыть ICMP from any to any на том же шлюзе?

Спасибо за ответы.

[butcher]

1. Для работы с протоколом FTP необходимо разрешить TCP соединения для портов 21, 1024-4999, 49152-65535
2. Смотря чего ты боишься.. и если ты открываешь только то что тебе нужно, то вопрос "это тебе нужно?"
3. Опять же, "это тебе нужно?". Самое безопасное - это ничего не открывать и вообще все провода лишние от компа отцепить..
Вообще, для ICMP я бы стал открывать по мере необходимости, только те типы, которые необходимы, например, 0,3,8,11
_________________
Нет ничего невозможного...

[Dmitry.Karpov]

1. FTP в активном режиме (это по умолчанию) должен работать как надо. А в пассивном сервер открывает соединение к клиенту.

2. Я бы открывал с 4096 и выше. И то, не стОит "from any to any" - пиши отдельно "from LAN to any" и "from any to LAN".

3. Если нужно, и кто-то будет этим пользоваться - открой. Но лучше открыть только то, что действительно необходимо.

PS: А лучше всего раздай клиентам адреса 192.168.*.* или 10.*.*.* и спрячь их всех под маскарадингом.
_________________
Благословен Бог, сотворивший меня сисадмином!

[butcher]

Активный режим:
сервер - клиент
20,21 1024-4999, 49152-65535
Пассивный режим:
сервер - клиент
21,1024-4999 1024-4999, 49152-65535
49152-65535?

на счёт диапазонов, они такие, но не все сервера поддерживают, вроде как рекомендуется на 49152-65535 переходить, но по старой привычке 1024-4999 используют..
_________________
Нет ничего невозможного...