Buon giorno,
allora, eccoci di fronte ad un altro storico del networking: ftp. Lo aborriamo in quanto cleartext ma non possiamo farne a meno!
Ho nattato la porta 21 verso un server FTP e poi ho abilitato ip inspect ftp per far funzionare la connessione dati passiva.
Ora, cosa succede se, disgraziatamente, un client vuole funzionare in modo attivo? Ho provato a nattare anche la 20 ma senza risultati...
ho il sospetto che ip inspect si intrometta in quanto permette connessioni ftp dati con solo le porte superiori a quelle privilegiate.
Esiste un modo per far convivere le due cose?
Far convivere FTP attivo e passivo è possibile?
Moderatore: Federico.Lagni
-
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
Non capisco perché non dovrebbero convivere...
In fondo, ip inspect si limita a creare delle ACL run-time per permettere il traffico... se il traffico è già permesso sulla porta 21, dovrebbe passare normalmente. Sbaglio?
In fondo, ip inspect si limita a creare delle ACL run-time per permettere il traffico... se il traffico è già permesso sulla porta 21, dovrebbe passare normalmente. Sbaglio?
-
- n00b
- Messaggi: 8
- Iscritto il: mer 22 set , 2004 3:36 pm
E allora non riesco proprio a capire perché non va!
Qualche suggerimento?
Qualche suggerimento?
-
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
Allora, IP inspect fa un sacco di cose. Se vuoi un prospetto completo, forse ti conviene cercare documentazione... google è tuo amico.
L'aspetto di IP inspect di cui parliamo specificatamente in questo thread è legato all'ispezione di alcuni protocolli di livello applicativo.
Le ACL funzionano a livello pacchetto e trasporto e non capiscono se si tratta di ftp o http o chissà che cosa, loro lavorano con porte e indirizzi.
IP inspect ci permette di chiudere le porte e fare in modo che si aprano nel caso in cui ip inspect riconosca il protocollo e lo autorizzi.
Crea quindi delle acl in tempo reale per far filtrare una connessione che è autorizzata a passare.
Un caso analogo a ftp passivo è h323, quello usato nelle videoconferenze. I dati in entrata non sono identificabili dalle porte. ip inspect è in grado di riconoscere quei dati e creare delle acl per far filtrare quei dati.
L'aspetto di IP inspect di cui parliamo specificatamente in questo thread è legato all'ispezione di alcuni protocolli di livello applicativo.
Le ACL funzionano a livello pacchetto e trasporto e non capiscono se si tratta di ftp o http o chissà che cosa, loro lavorano con porte e indirizzi.
IP inspect ci permette di chiudere le porte e fare in modo che si aprano nel caso in cui ip inspect riconosca il protocollo e lo autorizzi.
Crea quindi delle acl in tempo reale per far filtrare una connessione che è autorizzata a passare.
Un caso analogo a ftp passivo è h323, quello usato nelle videoconferenze. I dati in entrata non sono identificabili dalle porte. ip inspect è in grado di riconoscere quei dati e creare delle acl per far filtrare quei dati.