 |
 |
 |
 |
 |
 |
Ftp tillhör de protokoll som är omöjliga att filtrera på ett bra sätt. Passiv ftp är det enda alternativet för utgående trafik, men normal ftp för inkommande (beroende på protkoll-konstruktionen och vilka portar som används). Problem uppstår då man behöver koppla sig mot ftp-servrar som inte stöder passiv ftp, har klienter som inte stöder passiv ftp och om man ska köra ftp mellan två nät som har filtrering av ftp och bara släpper ut passiv ftp och släpper in normal ftp.
Den enda vettiga lösningen är att köra med en proxy för just ftp och fortsätta filtrera på övriga protokoll. Ftp spärras av inifrån och ut och tillåts bara gå till Bifrost-burken, som sedan m.h.a. proxyn skickar paketen vidare. Inkommande ftp trafik mot egna ftp-servers kan man fortsätta att ha öppet för normal ftp utan problem, men ej passiv ftp (det skyddade nätet blir då alltför öppet).
FWTKs ftp-gw fungerar bra som proxy. Det enda problemet är att koden inte är fri, utan bara är licensierad till en person för internt bruk inom en organisation (t.ex. SLU, UU eller SUNET). Kommersiell användning är ej tillåten. Det gör att vi inte fritt kan distribuera ftp-gw med Bifrost, utan var och en måste själv hämta FWTK och kompilera upp ftp-gw. Inom SUNET kan vi distribuera binären på begäran (skicka brev till mig och så förser jag er med ftp-gw och plug-gw).
För att kunna ladda hem FWTK, måste man först skicka ett brev som ser ut som följande:
To: fwtk-request@tislabs.com Subject: accepted
Det ska bara innehålla ordet accepted och gå till adressen fwtk-request@tislabs.com. I svaret man får, står det var man kan hämta fwtk2.1.tar.Z. Packa upp källkodsfilen och gör följande:
cp Makefile.config.linux Makefile.config make
Kompileringen behöver bara gå så långt att libauth.a, libfwall.a och ftp-gw har skapats. Kopiera sedan över ftp-gw till Bifrost-distributionen under /usr/etc. En annan proxy som kan vara trevlig att ha är plug-gw, vilket är en generell proxy som kastar vidare paketen till en förutbestämd destination.
ftp-gw stöder inkommande normal och passiv ftp, men kopplar sedan själv upp sig med enbart normal ftp. Exempel på hur man använder proxyn från insidan av brandväggen (även WS-FTP o.d. kan använda denna proxy):
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
% ncftp -u ftp@ftp.sunet.se fw.domain.se
NcFTP 3.0.0 beta 14 (June 25, 1998) by Mike Gleason.
Connecting to 10.10.10.1...
Password for user "ftp@ftp.sunet.se" at 10.0.10.1: <password>
Logging in...
Swedish University Network SUNET
Archive ftp.sunet.se
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
eller:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - % ftp fw.domain.se Connected to fw.domain.se. 220 Name (fw.domain.se:user): ftp@ftp.sunet.se 331-(----GATEWAY CONNECTED TO ftp.sunet.se----) 331-(220 ftp2.sunet.se FTP server (Version wu-2.4.2-sunet-jh[B18-VR10](1) Tue Nov 3 15:12:30 MET 1998) ready.) 331 Guest login ok, send your complete e-mail address as password. Password: <password> 230- 230- Swedish University Network SUNET 230- Archive ftp.sunet.se - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -