TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Собственно сабж. Нужен для настройки фаервола. Стоит Serv-U. ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 00:14 11-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Диапазона нет, он может весьма различатся от клиента и еще бог знает чего. Для настройки нужен файрвол с контролем пакетов, который анализирует трафик по 21му порту и открывает необхолдимые входящие порты для пассивного FTP. Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 07:03 11-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору TechSup Ты хочешь внести ограничения на порты, с которыми можно соединяться изнутри защищаемой брендмауэром сети? ---------- Голосуем за наших людей. Номер раз. Номер два. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 08:18 11-04-2003

TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору UncoNNecteD Цитата: и открывает необхолдимые входящие порты для пассивного FTP. Вот именно этот диапазон мне и нужен. Цитата: Диапазона нет, он может весьма различатся от клиента и еще бог знает чего. Фигово... ooptimum Имеется комп (простой такой комп на АДСЛе). Ну и как всякому нормальному человеку мне захотелось организовать на нём фтп сервачёк. Музыкой с друзьями обмнениваться, пятое-десятое... Поставил я себе Serv-U. Всё работает, файлики по-сети бегают. Настроил фаервол на 20 и 21й порты (активный режим). Первокласник такое настроит. А вот дальше начались не то что проблемы, а непонятки... Не все мои друзья используют для закачки фтп-клиенты. Многие пользуются ослом. А он редиска привык работать в пассивном режиме и лупит по одним ему ведомым (и ведомым ли вообще) портам. А вернее диапазону. Где-то примерно 3000-5000. Вот мне и хотелось узнать, может быть есть стандартный диапазон портов описаный в какой-нить базе знаний микрософта или на заборе  не важно - лишь бы он правильный был ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 09:16 11-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору TechSup Ты лучше объясни какую роль у тебя брэнмауэр ("фаервол") выполняет? Что значит Цитата: Настроил фаервол на 20 и 21й порты Ты их оставил открытыми, а все остальное закрыл, или что? Я задаю все эти вопросы, потому что не ясна суть проблемы. Как я понимаю (но не уверен, что именно это ты имел в виду), у тебя закрыты брэндмауром все порты, кроме 20 и 21, оттого и все проблемы. Этого делать не следует, если ты не законченный параноик. Обычно закрывают только привилегированные порты (0-1024), а остальные оставляют открытыми. Все равно у тебя на них скорее всего не сидит ничего. А если и сидит, то ты можешь закрыть не весь диапазон 1025-65535, а только занятые порты, которые ты не хочешь показывать всему Интернету. Думаю, только так ты можешь избавиться от своих проблем. ---------- Голосуем за наших людей. Номер раз. Номер два. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 09:49 11-04-2003 | Исправлено: ooptimum, 09:52 11-04-2003

TILK Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если фтп не видит только осел, то поробуй открыть порт 4662: Цитата: Доступность порта 4662/tcp (для eDonkey запросов). Если порт не отвечает, IP банится. Неотвечающий 4662 порт в 95 процентах случаев означает неправильную настройку файрвола. В eDonkey сетях этот порт является стандартным для получения запросов на скачивание файлов другими страждущими. В некоторых случаях с Вас можно скачивать и при закрытом порте, но не всегда.   Взято с http://eightn.comtv.ru/ Всего записей: 515 | Зарегистр. 14-12-2001 | Отправлено: 10:40 11-04-2003

TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: у тебя закрыты брэндмауром все порты, кроме 20 и 21, оттого и все проблемы Нет. На фаерволе для Serv-U забиндены 20 и 21й порты - пускать всех. Но при пассивном режиме ломятся ещё и по другим портам. Вот их надо тоже забиндить на доступ. Но я не знаю какие именно. Можно тупо разрешить все входящие соединения для диапазона 3000-5000 - но это ИМХО не правильно... TILK В смысле осла я имел ввиду IE ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 10:59 11-04-2003

EndoR Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору TechSup Цитата: Но я не знаю какие именно ну в логах фаервола посмотри, куда ломяцца... ловишь момент, вписываешь и все. ---------- Fear is an efficient tool of management. Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 11:03 11-04-2003 | Исправлено: EndoR, 11:03 11-04-2003

TILK Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору То-то я думаю, каким образом на фтп зайти можно ослом? Попроси своих товарищей поставить себе легкий файрвол, такой как керио. Я с помощью него всегда с легкостью узнавал необходимые порты.   Добавлено EndoR кстати да, ты прав. Только не все фиреволы правильные логи выдают Всего записей: 515 | Зарегистр. 14-12-2001 | Отправлено: 11:03 11-04-2003

TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору EndoR Цитата: ну в логах фаервола посмотри, куда ломяцца... ловишь момент, вписываешь и все Это не выход. Потомучто биндить придётся хренову тучу портов (я же говорю, что они примерно в диапазоне 3000-5000). Не биндить же мне 2000 портов, прально TILK Цитата: Я с помощью него всегда с легкостью узнавал необходимые порты Узнать порты не проблема. привожу пример: выкладываю на фтп 10 картинок. Народ заходит ослами - двойной клик на картинке и начинается... запросы на совершенно разные порты. Никакой логики даже близко не наблюдается. ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 11:19 11-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору TechSup Цитата: Нет. На фаерволе для Serv-U забиндены 20 и 21й порты - пускать всех.   Но при пассивном режиме ломятся ещё и по другим портам. Вот их надо тоже забиндить на доступ. Но я не знаю какие именно. Можно тупо разрешить все входящие соединения для диапазона 3000-5000 - но это ИМХО не правильно...   Вот именно, что "да", я понял тебя правильно. Как я и писал, проблема в том, что у тебя закрыты все порты, кроме 20 и 21. И твое ИМХО не вернО, порты в диапазоне 1025-65535 должны быть открыты для входящих соединений. Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету, такие как M$ SQL, WINS, Radius и т.д. Впрочем, я повторяюсь. Другого решения нет. ---------- Голосуем за наших людей. Номер раз. Номер два. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 11:22 11-04-2003

TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Спасибо за объяснение ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 13:32 11-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Другого решения нет. ooptimum PIX Firewall позволяет работать как я говорил. Я уверен что и другие сервер-файрволы тоже.   Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту.   Цитата: порты в диапазоне 1025-65535 должны быть открыты для входящих соединений. Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету Мде, а если за файрволом сетка? откуда ты знаешь какие завтра в ней появятся сервисы?     Добавлено Цитата: Другого решения нет. ooptimum PIX Firewall позволяет работать как я говорил. Я уверен что и другие сервер-файрволы тоже.   Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту.   Цитата: порты в диапазоне 1025-65535 должны быть открыты для входящих соединений. Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету Мде, а если за файрволом сетка? откуда ты знаешь какие завтра в ней появятся сервисы? Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 14:56 11-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD Цитата: Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту Ты сам-то понимаешь, что написал? Для того, чтобы открывать нужные порты, брэндмауэр должен ализировать весь трафик, идущий с/на 21 порт и быть при этом достаточно интеллектуальным, чтобы понять, что сервер переключают в пассивный режим и выделить номер порта, отданный сервером. Я допускаю, что это в принципе возможно, но для этого брэндмауэр должен, как минимум, точно знать, что на этом или любом другом порту (альтернативные конфигурации никто еще не отменял) сидит именно ftp сервер, а не что-то другое. Иначе любой дурак посредством телнет соединения и простенького скрипта на сервере откроет любой защищаемый порт.   Цитата: Мде, а если за файрволом сетка? откуда ты знаешь какие завтра в ней появятся сервисы? А какая разница, что за брэндмауэром находится? Ты же открываешь порты на нем самом, а не на том, что за ним. Если никто (софт) этот порт (любой) не слушает, то любая попытка на соединение с ним будет отклонена.   Не ожидал, если честно, от тебя такого вопроса... ---------- Голосуем за наших людей. Номер раз. Номер два. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 16:29 11-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Для того, чтобы открывать нужные порты, брэндмауэр должен ализировать весь трафик, идущий с/на 21 порт и быть при этом достаточно интеллектуальным Так и есть   Цитата: Иначе любой дурак посредством телнет соединения и простенького скрипта на сервере откроет любой защищаемый порт Вот за счет интеллектуальности этого и не произойдет, ибо анализируется именно ftp сессия и порты открываются на тот ip на котором стоит сервер ftp и с которым установлено ftp соединение.     Цитата: А какая разница, что за брэндмауэром находится? Ты же открываешь порты на нем самом, а не на том, что за ним. Если никто (софт) этот порт (любой) не слушает, то любая попытка на соединение с ним будет отклонена Большая разница. Ведь ты прописываешь на нем всю защиту сети - если ты хочешь защитить свою сеть как минимум от троянов сидящих на произвольном порту - ты должен их закрыть.   Для большей информации почитай о настройке PIX файрвола на FTP сессии.     Цитата: Не ожидал, если честно, от тебя такого вопроса... От меня много чего можно ожидать Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 16:46 11-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD   Во-первых, TechSup не говорил, что у него стоит PIX...   Цитата: Вот за счет интеллектуальности этого и не произойдет, ибо анализируется именно ftp сессия и порты открываются на тот ip на котором стоит сервер ftp и с которым установлено ftp соединение.   Не знаю как там на самом деле у PIX, нет его у меня, но по-моему для этого от должен получать от тебя прямое указание: вот на этом сервере на таком-то порту стоит не что иное, как ftp, который может работать в пассивном режиме. Иначе при определенном стечении обстоятельств излишей его интеллектуальностью можно будет воспользоваться для проникновения на защищаемую территорию. Кстати, что такое PIX? Нет, конечно я про него читал и знаю, что это брендмауэр такой, но кроме этого он ведь должен быть либо мостом, либо маршрутизатором, либо коммутатором. Что он есть в довесок к брендмауэру?   Цитата: Ведь ты прописываешь на нем всю защиту сети - если ты хочешь защитить свою сеть как минимум от троянов сидящих на произвольном порту - ты должен их закрыть.     Давай забудем про PIX пока. В качестве стендовой возьмем следующую конфигурацию: есть брендмауэр, его внешний адрес -- 212.110.0.1, а внутренний -- 192.168.0.1. За брендмауэром локалка, а в ней на компьютере с адресом 192.168.0.2 кто-то поставил Back Orifice. Брендмауэр не закрывает порт 31337 на внешнем интерфейсе. Как ты можешь, зная все эти факты, получить доступ извне к Back Orific'у на машине 192.168.0.2?     SurfKoba Цитата: но разума много не нужно, тот же NAT как то догадывается о том что дальше сказать в команде PORT (он то на себя открывает коннект и свой свободный порт).     NAT этим не занимается. Серверы за NATом не сидят. Во всяком случае без переадресации портов. А пассивный режим как раз и придуман, чтобы клиенты за NATом могли пользоваться внешними FTP. ---------- Голосуем за наших людей. Номер раз. Номер два. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 17:30 11-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Давай забудем про PIX пока. В качестве стендовой возьмем следующую конфигурацию: есть брендмауэр, его внешний адрес -- 212.110.0.1, а внутренний -- 192.168.0.1. За брендмауэром локалка, а в ней на компьютере с адресом 192.168.0.2 кто-то поставил Back Orifice. Брендмауэр не закрывает порт 31337 на внешнем интерфейсе. Как ты можешь, зная все эти факты, получить доступ извне к Back Orific'у на машине 192.168.0.2?     А где же тогда стоит FTP сервер ?   Если на том же 192.168.0.2 - то как ты к нему получишь доступ ?   Цитата: NAT этим не занимается. Серверы за NATом не сидят. Во всяком случае без переадресации портов. А пассивный режим как раз и придуман, чтобы клиенты за NATом могли пользоваться внешними FTP.   Значит за NAT'ом сервера не сидят, а за брандмауэром в локальной сети сидят ?   Что то ты зарапортовался имхо   Добавлено По поводу PIX - это программно аппаратный комплекс, так называемый межсетевой экран. Ну если хочешь - спец. роутер с спец софтом. Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 17:38 11-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору SurfKoba активный FTP сейчас не обсуждается, он собственно и не при чем. Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 17:54 11-04-2003

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Диапазон портов для пассивного режима ftp

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование