「外部サイトへのftpができないのでipfwの設定を」の編集履歴(バックアップ)一覧に戻る
*外部サイトへのftpができないのでipfwの設定を
Q:
----
A:724
内側からのアクセスを規制するとFTPは厄介ですよね。
まあ、アクティブモードでつなぎに行って、20ポートからだけ開けとけばOKかと。
$cmd 00127 $skip tcp from any 20 to any in via $oif setup keep-state
かな。
でも20ポートからなら何だって繋げれるから、0-1023ポートはそれより前に閉めとかないとね。
$cmd 00050 deny tcp from any to any 0-19,21,23-79,81-1023 in via $oif
$cmd 00055 deny udp from any to any 0-1023 in via $oif
あとはX(6000-6031?)とかmysql(?)とかjserverとか気になるとこも閉めとくべし?
$cmd 00060 deny tcp from any to any 6000-6031 in via $oif
$cmd 00070 deny udp from any to any 6000-6031 in via $oif
私もエロくないので、もっとえらい人を待ちましょう。
----
A:725
FreeBSD の ftp/fetch の場合は active 時の port の範囲は
制御できます(man ftp => restrict とか参照)
というわけで IPFW にこんなの追加
# for ftp-data port
${fwcmd} add pass tcp from any 20-21 to ${oip} 49152-65535 setup
まあもっと狭めてもいいけど
----
Q:733
>>724さんの
>$cmd 00127 $skip tcp from any 20 to any in via $oif setup keep-state
でつながりました.
ありがとうございます.
これでFreeBSDのisoイメージが落とせます.
私の中では>>724さんをエロい人だと勝手に認定しておきます.
>でも20ポートからなら何だって繋げれるから、0-1023ポートはそれより前に閉めとかないとね。
すいません,これがどういう意味なのかわからんのですが,
どういう意味なのでしょう?(日本語になってないな.)
ついでに教えていただけると助かります.
----
A:734
>>733
00127のルールは外部のTCP22ポートから内部の*任意の*TCPポートへのコネクションを許可してるわけ。
だから、外部TCPポートが22であれば、内部の139や445や6000にアクセスを許してしまう。
これを避けるために、00127よりも前に(00050から00070のルール)で危険なポートを閉めてるわけ。
でも私はファイアウォール付きルータ内で普段は運用しているのでipfwを実運用したことはないので
参考程度にどうぞ。*安全は保障しません。自己責任でどうぞ。。。
----
A:744
check-state/keep-stateについて調るべし
#静観していたが、あまりにも無茶苦茶なことしてるので
「ipfw ftp ステートフル」とかぐぐるといろいろ出て来る
