OpenBSD Packet Filter yük dengelemede FTP kullanımı |
Yanıt Yaz |
Yazar | |
megabros
Security Professional Kayıt Tarihi: 08-06-2009 Konum: Turkey Status: Aktif Değil Points: 752 |
Mesaj Seçenekleri
Yanıt Yaz
Alıntı megabros
Bu mesaj kurallara aykırıysa buradan yöneticileri bilgilendirebilirsiniz.
Gönderim Zamanı: 24-08-2009 Saat 00:44 |
FTP, sık kullanılan protokoller(HTTP, SMTP, DNS vs) arasında en sorunlu protokoldür. Diğer protokoller tek bir TCP/UDP portu üzerinden çalışırken FTP birden fazla ve dinamik portlarla çalışır. Bir Firewall’da HTTP bağlantısını açmak için sadece 80. portu açmanız yeterlidir fakat FTP için 21. portu açmak yetmez. Zira FTP komutlarin gidip geldiği ve verinin aktığı port olmak üzere iki farklı port üzerinden çalışır. İlk port sabit ve bellidir:21. port fakat veri bağlantısının gerçekleştiği port olan diğer port Aktif FTP ve PAsif FTP kullanımına göre değişir ve eğer firewall FTP protokolünden anlamıyorsa genelde sorun yaşanır. Çoğu zaman arkadaşlarınızın FTP ye bağlanıyorum ama ls çektiğimde bağlantı kopuyor ya da öylesine bekliyor dediğine şahit olmuşsunuzdur. Bu gibi istenmeyen durumlar FTP’nin karmaşık yapısı ve Firewall’ların protokolden anlamamasından kaynaklanır. Yeni nesil Firewall’larda bu sıkıntı büyük ölçüde giderilmiş olsa da ara ara eksik yapılandırmalardan aynı hataların yaşandığını görüyoruz. Linux Iptables’da ftp problemini aşmak için mod ftp_conntrack modülünün sisteme yüklenmesi gerekir. OpenBSD Packet Filter ise bu tip aykırı protokoller için en uygun yapı olan proxy mantığını kullanır. FTP için ftp-proxy, upnp için upnp proxy, sip için sip-proxy vs. FTP protokolü eğer çıkış hattı bir tane ise oldukça rahat çalışır fakat hatlar birden fazla ve bunlar arasında load balance işlemi yapılıyorsa problem yaşatır. Aşağıdaki örnek iki farklı çıkışı olan ve iç ağında VLAN’lere bölünmüş(her bir VLAN ayrı hattan çıkıyor) OpenBSD PF için ftp-proxy’nin sorunsuz kullanımını anlatmaktadır. — — VLAN_1 _Cikis_IP1 Mesela VLAN1 den gelen paketler Cikis_2 den gitsinler , VLAN_1 den Bu durumda VLAN1 ve VLAN2 icin iki ayri ftp-proxy calistiracagiz. VLAN1 icin ftp-proxy -a Cikis_IP2 -b 127.0.0.1 -p 8021 VLAN2 icin ftp-proxy -a Cikis_IP1 -b 127.0.0.1 -p 8022 sonra pf.confu su sekilde duzenlemeniz gerekecek. … anchor “ftp-proxy/*” Sonra rdr kurallarinda ilgili vlan’den gelen tcp 21 paketlerini sirasi ile 8021, 8022 portlarina yonlendirmek. Saygılar..
|
|
Yanıt Yaz | |
Tweet |
Forum Atla | Forum İzinleri Kapalı Foruma Yeni Konu Gönderme Kapalı Forumdaki Konulara Cevap Yazma Kapalı Forumda Cevapları Silme Kapalı Forumdaki Cevapları Düzenleme Kapalı Forumda Anket Açma Açık Forumda Anketlerde Oy Kullanma |