Moritz
Life is hard and so am I
Hey Leute!
Habe ein Frage:
Und zwar möchte ich meine Firewall noch ein wenig enger schüren und deswegen die hohen Ports, die ich nur für FTP-Verbindungen brauche abschneiden.
Derzeit wird wird folgendermaßen geroutet:
So.
Ich würde aber gerne von MASQUERADE auf Proxy umstellen.
Das soll transparent für den Klienten passieren, da ich diese nicht konfigurieren kann/möchte.
Das Problem das ich habe ist, dass ich nicht weiß, wie man den Daten-Kanal über den Proxy jagt.
Transparente FTP-Proxy gibt es ja genügend und mit
lässt sich sowas ja auch gut an den Proxy weiterleiten.
Aber was passiert mit den Daten? Wie muss ich die Firewall einrichten, damit das funktioniert. Welche Proxy ist empfehlenswert?
Hier nochmal der Weg den ich mir Vorstelle:
1. Klient stellt Anfrage
2. Firewall im Router fängt Anfrage ab und leitet an Proxy weiter
3. Proxy stellt eigene Anfrage
4. Proxy sendet Antwort an Klienten zurück
5. Klient baut Daten-Verbindung auf
6. Firewall im Router fängt Daten-Verbindung ab und leitet an Proxy weiter
7. Proxy baut eigene Datenverbindung auf und zieht Datei
8. Proxy sendet Datei an Klienten
9. Proxy speichert Datei im Cache für andere Klienten
Die Ports >1024 können dabei nach innen offen sein, nach aussen soll der Proxy nur eine Spanne von (ca.) 1000 für Verbindungen haben.
Es soll keine der oben genannten Firewall regeln mehr nötig sein, d.h. kein FORWARDing von Port 21 oder (>1024)
Vielen Dank im Voraus,
Moritz
Habe ein Frage:
Und zwar möchte ich meine Firewall noch ein wenig enger schüren und deswegen die hohen Ports, die ich nur für FTP-Verbindungen brauche abschneiden.
Derzeit wird wird folgendermaßen geroutet:
Code:
$IPT -A FORWARD -p TCP -i $IN -o $EX --sport $HIGHS --dport ftp -j check
$IPT -A FORWARD -p TCP -i $EX -o $IN --sport ftp --dport $HIGHS -j check
$IPT -A FORWARD -p TCP --sport $HIGHS --dport $HIGHS -j checkIch würde aber gerne von MASQUERADE auf Proxy umstellen.
Das soll transparent für den Klienten passieren, da ich diese nicht konfigurieren kann/möchte.
Das Problem das ich habe ist, dass ich nicht weiß, wie man den Daten-Kanal über den Proxy jagt.
Transparente FTP-Proxy gibt es ja genügend und mit
Code:
$IPT -t nat -A PREROUTING -p TCP -i $IN --sport $HIGHS --dport 21 -j REDIRECT --to-port ???Aber was passiert mit den Daten? Wie muss ich die Firewall einrichten, damit das funktioniert. Welche Proxy ist empfehlenswert?
Hier nochmal der Weg den ich mir Vorstelle:
1. Klient stellt Anfrage
2. Firewall im Router fängt Anfrage ab und leitet an Proxy weiter
3. Proxy stellt eigene Anfrage
4. Proxy sendet Antwort an Klienten zurück
5. Klient baut Daten-Verbindung auf
6. Firewall im Router fängt Daten-Verbindung ab und leitet an Proxy weiter
7. Proxy baut eigene Datenverbindung auf und zieht Datei
8. Proxy sendet Datei an Klienten
9. Proxy speichert Datei im Cache für andere Klienten
Die Ports >1024 können dabei nach innen offen sein, nach aussen soll der Proxy nur eine Spanne von (ca.) 1000 für Verbindungen haben.
Es soll keine der oben genannten Firewall regeln mehr nötig sein, d.h. kein FORWARDing von Port 21 oder (>1024)
Vielen Dank im Voraus,
Moritz
