Re: FTP x FIREWALL-[NAO RESOLVIDO]
Em 25/01/07, henrique<jmhenrique@yahoo.com.br> escreveu:
Em Quinta 25 Janeiro 2007 11:32, Maxwillian Miorim escreveu:
> On 1/25/07, henrique <jmhenrique@yahoo.com.br> wrote:
> [ corte ]
>
> > iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
> > iptables -A FORWARD -p tcp --sport 20 -j ACCEPT
>
> Os pacotes de ftp-data são enviados por UDP em alguns servidores (não
> achei nada sobre isso na RFC do ftp, mas aqui há casos em servidores
> de parceiros de clientes onde só fazemos conexão liberando aporta
> 20/UDP).
mto estranho mesmo, nunca tive que liberar udp na 20/21. Deve ser alguns casos
raros da comprovação de que a informática não é uma ciencia exata :D :D :D
Sempre que eu vejo isso eu gosto de reclamar... tudo no computador é
exato: ou é zero ou um. A não ser por algum bug no hardware, o
computador segue a risca o que lhe foi instruído fazer. Ele ele faz
coisa errada, é ou porque não ensinaram a fazer direito ou quem pede
não pede do jeito que ele entende.
Com redes é a mesma coisa. A unica dificuldade é que não está mais
dependendo apenas de um micro e sim de vários. E o fator
imprevisibilidade é um DROP em algum pacote que está no meio do
caminho, seja por congestionamento, seja por firewall, etc. (não quero
entrar no âmbito de segurança qdo podem surgir pacotes não esperados -
estamos atentos aqui apenas a funcionalidade).
Nesse caso específico, eu acho dificil o ftp usar a 20/udp - nunca vi
um processo ligado a essa porta no netstat, e observando o
/etc/services vcs vão notar que praticamente todos os serviços são
alocados pelas portas e não o par porta/protocolo. Ou seja, a porta 80
é http, seja via udp ou tcp por convenção. (o unico ftp via udp que
achei é o velho conhecido tftp, mas esse roda na porta 69).
Como eu já mencionei antes, o FTP é um protocolo bem xarope de liberar
sem que outros buracos sejam abertos no firewall - por isso é
importante entender o funcionamento do protocolo antes. (rfc 959,
acabei de consultar lá)
--
Marcos
Reply to: