Re: [Forum] Server

From: Esben Nielsen <simlo@phys.au.dk>
Date: Wed Jan 22 2003 - 16:08:20 CET

Jeg tror ikke jeg (og andre) har forstået det helt. Jeg antager du har en
standeard løsning med een IP adresse udadtil og et skjult 192.168.0.0
netværk inde bagved.
Lad os bruge lidt "grafik":
                                Linux maskine med FTP server
                              /
  Internet --- Router --- PC1
                 (firewall) \
                                PC2
                                ....

Routeren hedder noget fast på ydersiden og sikker 192.168.0.1 på
indersiden. Din Linux box hedder 192.168.0.2 og de andre PC'ere noget med
192.168.0.3 etc.

Dvs., hvis man udefra kun kan se din router. Hvis du starter en
forbindelse indefra vil routeren lave en oversættelse fra indersiden
til ydersiden, så TCP forbindelser kan køre igennem. Udefra ser det ud til
alting kommer fra routeren og svar skal sendes tilbage til en port på
routeren, som så sender det over til din maskine på indersiden.

Hvad så med forbindelser udefra? Tja, du kan vel definere en regel i
routeren så den kan forwarde port 22 (ssh) til port 22 på din Linux
maskine. Så kan du logge ind på din Linux maskine udefra. Du skal blot
skrive "ssh <bruger>@<routerens eksterne IP nummer> for at komme på.
Igen: Udefra er der kun routeren. At trafikken i virkeligheden går til din
Linux maskine ser man ikke.

Ftp er desværre sværere idet den bruger _to_ forbindelser: en til kontrol
og een til data. Men det vil nok virke blot at forwarde port 21 som
ovenfor. Så kan du logge på udefra. Men der skal bruges en forbindelse
mere for at man kan overføre data. Hvis du ikke gør mere skal du bruge
"aktiv" ftp. Her laver ftp-serveren en tcp-forbindelse tilbage til
klienten, når data skal overføres. Det vil jo netop virke da din route
allerede kan forwarde tcp-forbindelser udad. MEN sidder brugeren også bag
en firewall, som ikke kender specielt til FTP (en linux-router gør
normalt) vil ftp-serveren ikke kunne forbinde til ftp-klienten...

Alternativt er der mange, der bruget "passiv" ftp, hvor den ekstra
forbindelse oprettes af klienten. Dette løser nemlig problemmet med
firewallen i klient-enden. Men så skal din router være så smart, at den
ved den skal forwarde denne nye forbindelse til Linux maskinen - og det er
nok svært at få den til!

Men måske kan Tiscali ordne det for dig, hvis de ellers tilbyder at
konfigurere routeren. Linux maskinen er ligeglad, det hele ligger i
firewall reglerne i "routeren" (som egentligt er en firewall.)

Esben

On Wed, 22 Jan 2003, Jens Rohde wrote:

> helgec@tiscali.dk wrote:
>
> Hej
>
> > Jeg ville gerne ha' min Linux pc'er (192.168.0.2)
> > til at være FTP server udadtil altså ikke på LAN
> > Kan det lade sig gøre med den skitserede opsætning?
> > hvis ja - hvordan?
>
> Den korte version: Ja
>
> Den lidt længere: Så vidt jeg husker fra min tid som Tiscali-kunde, så
> mappes alle porte direkte igennem til192.168.0.2. Således vil en
> maskine, der har denne IP-adresse således være helt åben for omverdenen
> (faktisk ikke anbefalelsesværdigt). Men det vil selvfølgelig være muligt
> at starte en ftp-server op på maskinen, og dermed dele sine filer med
> omverdenen. Hvordan dette gøres afhænger noget af hvilken distribution
> du kører med, og dermed hvilken ftp-server.
>
> Men generelt kan jeg anbefale, at du får pillet lidt i din router
> (skulle være muligt hos Tiscal), så du får lukket for alle andre porte
> end dem du har tænkt dig at anvende. Det vil gøre dig meget mindre
> sårbar overfor angreb udefra.
>
> Dernæst er det _meget_ vigtigt at du holder øje med security-updates til
> din linux. ftp er en af de protokoller der oftest er exploits til. Så
> hvis ikke du er opmærksom på dette, kan du meget huritigt ende i en
> situation, hvor du ikke selv styrer hvad der foregår på din maskine.
>
> Linux er nok fornuftigt strikket sammen på mange måder, men 100% sikkert
> kan man ikke kalde det :)
>
> /Jens
>
>
>
>
> --
> AaLUG Forum liste - Forum@aalug.dk
> http://www.aalug.dk/mailman/listinfo/forum
>
Received on Wed Jan 22 16:08:22 2003

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 16:04:37 CEST