FTP Passive Mode deaktivieren => Probleme ?

[anyware]

Hi !

Um vernünftiges IP Accounting machen zu können müsste man den Passive Mode für ftp eigentlich deaktivieren. Die Frage ist allerdings ob ich damit nicht evtl. User aussperre die Firewalls bzw. NAT benutzen. Hat da jemand irgendwelche Erfahrungen oder Tips ?

Ciao, Stefan ...

[captaincrunch]

Active FTP ist so ziemlich das übelste, was sich die werten Herren der DARPA damals so ausgedacht haben. Leider kam das erst zu Zeiten zum Vorschein, in denen das Internet kein "freundlicher" Ort mehr war.

Von daher hast du schon ganz richtig erkannt, dass du durch deaktivieren von Passive FTP einige (wahrscheinlich sogar ziemlich viele) aussperren wirst.

Btw. : Active FTP will man sowieso nicht mehr haben ... ;)

[anyware]

Ich habs befürchtet aber trotzdem Gegenteiliges gehofft ;)

Dann werd ich wohl in den sauren Apfel beissen müssen und mich damit anfreunden müssen nur ungenaue IP Accounting Daten für ftp zu sammeln.

[captaincrunch]

Ich dachte bisher eigentlich immer, dass durch die related-State der IPTables auch FTP-Accounting relativ genau wäre ?!? Wo kann ich denn das Gegenteil lesen ? ;)

[anyware]

hmm, lesen gar nicht. Aber du kannst meinen Nachforschungen vertrauen ;)

IAM beispielsweise misst den passive ftp Traffic nicht, bzw. ordnet diesen Traffic nicht ftp zu. Das nur nebenbei ...

Mit Connection Tracking kann ich mir Regeln basteln, die den passive Traffic erfassen. Das funzt bei mir auch prima. Aber es ist nicht garantiert, dass dieser Traffic tatsächlich von ftp kommt.

Anders gesagt: ich erfasse den KOMPLETTEN ftp Traffic und evtl. noch das ein oder andere Byte von anderen Diensten.

[captaincrunch]

Mit Connection Tracking kann ich mir Regeln basteln, die den passive Traffic erfassen. Das funzt bei mir auch prima. Aber es ist nicht garantiert, dass dieser Traffic tatsächlich von ftp kommt.

OK, schon klar, nur ist ziemlich unwahrscheinlich, dass ein Dienst != FTP, der auf deiner Kiste läuft über High-Ports (nach draußen) antwortet, oder ?

[anyware]

OK, schon klar, nur ist ziemlich unwahrscheinlich, dass ein Dienst != FTP, der auf deiner Kiste läuft über High-Ports (nach draußen) antwortet, oder ?

Jein...Gameserver, Webmin, Teamspeak und co. laufen alle über High Ports. Gameserver usw. sind zwar nicht geplant, aber es gibt eben genug Dienste die über High-Ports kommunizieren.

Ich muss dann zwangsläufig für all diese Dienste Chains anlegen (und zwar vor der ftp chain) um den Traffic rauszufiltern. Ansonsten landet der Kram nämlich in der Kategorie ftp.

Natürlich ist es kein Problem diese Chains anzulegen, aber wenn mich eigentlich nur web-, mail- und ftp-Traffic interessieren nervt das natürlich.

Es wäre schöner wenn man ftp genauso leicht erschlagen könnte wie http oder ssh. Aber das ist mit passive Mode eben nicht möglich.

[captaincrunch]

aber es gibt eben genug Dienste die über High-Ports kommunizieren.

Welche außer Gameservern ? ;)