Date: Fri, 13 Sep 2002 15:39:41 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: ipfilter og ftp To: bsd-dk <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Hej.
Jeg har installeret FreeBSD 4.6.2 og cvsup'et den til
seneste 4.7-pre fra i mandags.
Så starter jeg ipfilter, ipnat samt ipmon.
Nettet er simpelt. På indersiden har jeg vores private
net med netkortet xl0. På ydersiden har jeg
internettet med netkortet ep0.
____________________
| |
(inderside) xl0--|f.wall m. ipfilter|--ep0 (internet)
| |
--------------------
Jeg kan sagtens sidde og surfe på internettet etc. fra
en klient på indersiden, men så snart jeg prøver at
lave en ftp-download fra en ekstern server, stopper
det op. Den kobler op på ftp-serveren, og kobler så
over i passiv modus. Og her stopper det.
På ipmon ser jeg, at klienten nu forsøger at
re-etablere ftp-downloaden med et nyt port-nummer som
klienten vælger (som den skal). Problemet er blot at
ipfilter tilsynelandende ikke tror at dette er en del
af en etableret session, men en ny session, og derfor
ikke tillader pakken.
Uddrag af ipf.conf:
pass in quick on xl0 proto tcp from 192.168.1.0/24 to
any port = 21 flags S keep state group 10
Gør jeg et eller andet fundamentalt galt? Jeg skal jo
som klient ud og hente en fil på en server, og 'keep
state' skal jo huske min session (tre-vejs håndtryk,
syn, syn/ack, ack tror jeg nok). Derfor burde det ikke
være nødvendigt at tillade traffik på mit eksterne
netkort (ep0).
Hilsen
Claus
Få den nye Yahoo! Messenger på www.yahoo.dk/messenger
Nu med webkamera, talechat, interaktive baggrunde og meget mere!
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:22 CET