おおさとです。
> From: masakazu yamada <lee@xxxxxxxxx>
> Date: Sun, 10 Nov 2002 18:29:15 +0900
> > とりあえず passive mode でいいなら ipchains に ip_masq_ftp なし
> > でも通ります。
> passive mode はどのようにすれば宜しいでしょうか?
>
> 出来ましたら 、そのままipchainsを使いたいので宜しくお願いいたします。
もちろん、相手のサーバが passiv port mode という前堤です。
最近では有名どころの anonymous ftp サーバは大体 passiv only
が多くなりました。
passive port mode ではデータポートの扱いが変わります。
normal port mode では、サーバの port 20 からクライアントの任意
の非特権ポートへの tcp コネクションを許す設定が必要になります。
このサーバー側からコールバックのコネクション開始という ftp の
風変わりな仕様がパケットフィルタリングにとっては難題なわけです。
passive port mode ではそれは不要となる代わりに、クライアントの
任意の非特権ポートからサーバの非特権ポートに tcp コネクション
を張りに行きます。syn パケットはクライアント --> サーバの向き
にしか流れませんから、passive port mode の方が安全性を保ちやす
いと言われる所以です。
port 1024:65535 から port 1024:65535 に向けてのセッション開始
を許すようなルールを書いてやればいいです。
/sbin/ipchains -A output -i (インタフェース)\
-p tcp -s (IPアドレス) 1024:65535\
-d 0/0 1024:65535\
-j ACCEPT
/sbin/ipchains -A input -i (インタフェース)\
-p tcp ! -y -s 0/0 1024:65535\
-d (IPアドレス) 1024:65535\
-j ACCEPT
おおまかにいうと以上の通りで、その他の多くのサービスとの組み
合わせではさらにきめ細かな制御が必要になります。
--
kazz@xxxxxxxxxxxxxx / oosato@xxxxxxxxxxxxx / 大里和朗