방화벽 (ipfw) 과 ftp 문제
글쓴이: sammycom / 작성시간: 금, 2003/12/12 - 9:28오전
리눅스가 아니고 FreeBSD 입니다
도움주실수 있을거라 믿고 여기에 질문합니다.
FTP 는 Proftp 를 씁니다 ftp 포트는 860 을 씁니다.
그리고 작동방법은 standalone 을 쓰고요 잘됩니다.
문제는 ipfw 를 써서 Firewall 을 구축할때 생깁니다
% ipfw add 01000 deny tcp from any to 66.xxx.xxx.xxx
이렇게 1차적으로 외부에서 내부로 들어오는 모든 tcp 를 막고
% ipfw add 00900 allow tcp from any to 66.xxx.xxx.xxx 23,25,80,110,860,3306
이렇게 ftp를 포함한 필요한 포트만 접속할수 있게 열어 놓았습니다.
위의 열어놓은 포트들 (telnet, smtp, pop3, http, mysqld 등) 은
외부에서 잘 통과/접속이 됩니다.
그런데 ftp 포트 (860) 만 전혀 안됩니다.
그래서 포트를 원래 21 으로 바꾸고 ipfw 도 다시 바꿔서 해봐도 마찬가지입니다.
전에 어디서 본것 같은데 ftp 는 포트번호 가 접속할때
다른번호로 변환되서 사용된다고 본 기억이 나는것 같은데요
그렇다면 FTP 서버르 사용하게될 경우 Firewall 은 사용못하는게 되나요?
방법이 있으면 가르쳐 주세요.
Forums:
20번과 21번이 열려야 될겁니다.
ftp 20번과 21번이 열려야 됩니다.
20번은 ftp명령어
21번은 ftp의 실제 파일 전송
프비의 구루가 되기 위해서...
Re: 20번과 21번이 열려야 될겁니다.
바꿔 알고 계신게 아닌가요?
20번이 ftp-data로 알고 있습니다만..
passive로 동작시키면 한 포트를 사용합니다.
screen + vim + ctags 좋아요~
Re: 20번과 21번이 열려야 될겁니다.
21번이 제어 포트고 20번이 데이타 전송 포트입니다.
그리고 20,21 번 포트를 열면 된다는건 잘못된 겁니다.
21번은 passive open 이지만 20번은 active open 이라는 것이 차이가 있습니다.
즉, 나가는 syn 패킷이 열려 있기만 하다면 20번 포트는 따로 열어 줄필요가 없습니다.
ftp 에서 passive 모드는 방화벽 안에 있는 클라이언트를 위해서 데이타 전송 포트를 서버가 passive 하게 열어 사용하는 겁니다.
댓글 달기