Вопросы работы в сети с брандмауэром

В общем-то, совместная работа ftp и брандмауэра в одной или разных сетях обеспечивается почти без суеты. Источником проблем является фундаментальный дизайн ftp и его подход с двойным сокетом для передачи данных. Брандмауэры же, по крайней мере хорошие, исходят из того, что все получаемые пакеты враждебны и открывают "дыры" лишь на доверенных портах и адресах назначения.

FTP, как было показано в предыдущей главе, использует два основных режима работы - активный и пассивный. Поддержка пассивного режима при работе через брандмауэр достаточно сложна, для его работы требуется прослеживать все входящие и исходящие соединения на 21-м порту и полностью открывать tcp-порты для этих соединений на лету, "запечатывая" их, как только управляющий сокет будет закрыт. Поддержка активного режима по сравнению с ним требует минимум интеллектуальных усилий - достаточно открыть 20 и 21 порты, больше ничего не требуется.

ProFTPD позади брандмауэра

Учитывая природу протокола ftp, при размещении ProFTPD позади брандмауэра требуется соблюдать повышенную аккуратность. Настроить брандмауэр для управляющих соединений довольно легко - просто разрешите прохождение пакетов, направляющихся на 21-й порт на сервере. Однако сокет данных в пассивном режиме может открываться на произвольном номере порта со стороны сервера, в результате чего требуется или очень сложный брандмауэр, или придется существенно ослабить защиту. Директива PassivePorts позволяет администратору определить диапазон портов на сервере, которые будут использоваться для соединения данных, и затем можно открыть на брандмауэре только порты из этого диапазона.

Рейтинг@Mail.ru