OpenBSD Packet Filter yük dengelemede FTP kullanımı

FTP, sık kullanılan protokoller(HTTP, SMTP, DNS vs) arasında en sorunlu protokoldür. Diğer protokoller tek bir TCP/UDP portu üzerinden çalışırken FTP birden fazla ve dinamik portlarla çalışır.   Bir Firewall’da HTTP bağlantısını açmak için sadece 80. portu açmanız yeterlidir fakat FTP için 21. portu açmak yetmez.
Zira FTP komutlarin gidip geldiği ve verinin aktığı port olmak üzere iki farklı port üzerinden çalışır. İlk port sabit ve bellidir:21. port fakat veri bağlantısının gerçekleştiği port olan diğer port Aktif FTP ve PAsif FTP kullanımına göre değişir ve eğer firewall FTP protokolünden anlamıyorsa genelde sorun yaşanır.
Çoğu zaman arkadaşlarınızın FTP ye bağlanıyorum ama ls çektiğimde bağlantı kopuyor ya da öylesine bekliyor dediğine şahit olmuşsunuzdur. Bu gibi istenmeyen durumlar FTP’nin karmaşık yapısı ve Firewall’ların protokolden anlamamasından kaynaklanır.
Yeni nesil Firewall’larda bu sıkıntı büyük ölçüde giderilmiş olsa da ara ara eksik yapılandırmalardan aynı hataların yaşandığını görüyoruz. Linux Iptables’da ftp problemini aşmak için mod ftp_conntrack modülünün sisteme yüklenmesi gerekir. OpenBSD Packet Filter ise bu tip aykırı protokoller için en uygun yapı olan proxy mantığını kullanır. FTP için ftp-proxy, upnp için upnp proxy, sip için sip-proxy vs.
FTP protokolü eğer çıkış hattı bir tane ise oldukça rahat çalışır fakat hatlar birden fazla ve bunlar arasında load balance işlemi yapılıyorsa problem yaşatır. Aşağıdaki örnek iki farklı çıkışı olan ve iç ağında VLAN’lere bölünmüş(her bir VLAN ayrı hattan çıkıyor) OpenBSD PF için ftp-proxy’nin sorunsuz kullanımını anlatmaktadır.
—
Problem:ftp-proxy default cikis ip adresinden o interface ait ip adresi ile cikmaya calisir. Sizin isteginiz herbir VLAN ya da ip/subnet için farklı cikis ipleri kullanmaksa klasik ftp-proxy yapılandırması çalışmayacaktır.
—
VLAN_1 _Cikis_IP1
||Firewall-1 || ——Internet
VLAN_2 _ Cikis_IP2
Mesela VLAN1 den gelen paketler Cikis_2 den gitsinler , VLAN_1 den
gelenler Cikis_1den. Cikis_1 ayni zamanda sistemin default_Gw’i olsun.
Bu durumda VLAN1 ve VLAN2 icin iki ayri ftp-proxy calistiracagiz.
VLAN1 icin
ftp-proxy -a Cikis_IP2 -b 127.0.0.1 -p 8021
VLAN2 icin
ftp-proxy -a Cikis_IP1 -b 127.0.0.1 -p 8022
sonra pf.confu su sekilde duzenlemeniz gerekecek.
…
nat-anchor “ftp-proxy/*”
rdr-anchor “ftp-proxy/*”
rdr pass on $int_if proto tcp from VLAN1 to port ftp -> 127.0.0.1 port 8021
rdr pass on $int_if proto tcp from VLAN2 to port ftp -> 127.0.0.1 port 8022
….
anchor “ftp-proxy/*”
pass out on $ext_if1 route-to{($ext_if2 GW2)} from VLAN1 to any
Sonra rdr kurallarinda ilgili vlan’den gelen tcp 21 paketlerini sirasi ile 8021, 8022 portlarina yonlendirmek.

Saygılar..

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: OpenBSD Packet Filter yük dengelemede FTP kullanımı GÃ¶nderim ZamanÄ±: 24-08-2009 Saat 00:44
	FTP, sık kullanılan protokoller(HTTP, SMTP, DNS vs) arasında en sorunlu protokoldür. Diğer protokoller tek bir TCP/UDP portu üzerinden çalışırken FTP birden fazla ve dinamik portlarla çalışır. Bir Firewall’da HTTP bağlantısını açmak için sadece 80. portu açmanız yeterlidir fakat FTP için 21. portu açmak yetmez. Zira FTP komutlarin gidip geldiği ve verinin aktığı port olmak üzere iki farklı port üzerinden çalışır. İlk port sabit ve bellidir:21. port fakat veri bağlantısının gerçekleştiği port olan diğer port Aktif FTP ve PAsif FTP kullanımına göre değişir ve eğer firewall FTP protokolünden anlamıyorsa genelde sorun yaşanır. Çoğu zaman arkadaşlarınızın FTP ye bağlanıyorum ama ls çektiğimde bağlantı kopuyor ya da öylesine bekliyor dediğine şahit olmuşsunuzdur. Bu gibi istenmeyen durumlar FTP’nin karmaşık yapısı ve Firewall’ların protokolden anlamamasından kaynaklanır. Yeni nesil Firewall’larda bu sıkıntı büyük ölçüde giderilmiş olsa da ara ara eksik yapılandırmalardan aynı hataların yaşandığını görüyoruz. Linux Iptables’da ftp problemini aşmak için mod ftp_conntrack modülünün sisteme yüklenmesi gerekir. OpenBSD Packet Filter ise bu tip aykırı protokoller için en uygun yapı olan proxy mantığını kullanır. FTP için ftp-proxy, upnp için upnp proxy, sip için sip-proxy vs. FTP protokolü eğer çıkış hattı bir tane ise oldukça rahat çalışır fakat hatlar birden fazla ve bunlar arasında load balance işlemi yapılıyorsa problem yaşatır. Aşağıdaki örnek iki farklı çıkışı olan ve iç ağında VLAN’lere bölünmüş(her bir VLAN ayrı hattan çıkıyor) OpenBSD PF için ftp-proxy’nin sorunsuz kullanımını anlatmaktadır. — Problem:ftp-proxy default cikis ip adresinden o interface ait ip adresi ile cikmaya calisir. Sizin isteginiz herbir VLAN ya da ip/subnet için farklı cikis ipleri kullanmaksa klasik ftp-proxy yapılandırması çalışmayacaktır. — VLAN_1 _Cikis_IP1 \|\|Firewall-1 \|\| ——Internet VLAN_2 _ Cikis_IP2 Mesela VLAN1 den gelen paketler Cikis_2 den gitsinler , VLAN_1 den gelenler Cikis_1den. Cikis_1 ayni zamanda sistemin default_Gw’i olsun. Bu durumda VLAN1 ve VLAN2 icin iki ayri ftp-proxy calistiracagiz. VLAN1 icin ftp-proxy -a Cikis_IP2 -b 127.0.0.1 -p 8021 VLAN2 icin ftp-proxy -a Cikis_IP1 -b 127.0.0.1 -p 8022 sonra pf.confu su sekilde duzenlemeniz gerekecek. … nat-anchor “ftp-proxy/” rdr-anchor “ftp-proxy/” rdr pass on $int_if proto tcp from VLAN1 to port ftp -> 127.0.0.1 port 8021 rdr pass on $int_if proto tcp from VLAN2 to port ftp -> 127.0.0.1 port 8022 …. anchor “ftp-proxy/” pass out on $ext_if1 route-to{($ext_if2 GW2)} from VLAN1 to any Sonra rdr kurallarinda ilgili vlan’den gelen tcp 21 paketlerini sirasi ile 8021, 8022 portlarina yonlendirmek.* Saygılar..