[FUG-BR] PF vx FTPS

[Renato Botelho]

2011/6/29 Christiano Liberato <christianoliberato at gmail.com>:
> Caros,
>
> permito no pf que alguns ips façam ftp e agora surgiu a necessidade de
> permitir que façam ftps para um determinado ip na porta 990.
> Criei uma regra que permite acessar esse ip com ftps mas apos conectar nao
> lista as pastas de jeito nenhum.
> Ja alterei as confs de nat-anchor e rdr-anchor e nada.
> Alguem ja fez isso funcionar?
> Parece que tem algo a ver com passive mode...

Até onde sei é impossível atender a todas as modalidades
de conexão FTP.

Se você usar o ftp-proxy vai cobrir 2 tipos:

FTP ativo
FTP passivo

Ambos sem SSL, se você desligar o ftp-proxy e tiver as regras
liberando os usuários internos a sair pra portas altas, vai cobrir
o seguinte:

FTP passivo
FTP com SSL

O que acontece é que quando você habilita o ftp-proxy, as conexões
pra porta 21 são redirecionadas pro proxy, e é ele quem abre a
conexão com o server, e nessa hora não vai rolar a troca de chaves
pois o ftp-proxy não sabe fazer isso.

Mesmo se ele soubesse, teria que rolar uma troca de chaves entre
o proxy e o server e outra entre o client e o proxy. Nesse caso, o client
nunca teria certeza que o destinatário é quem diz ser.

O protocolo FTP é tosco e cheio de problemas, o ideal seria não usá-lo
mais, mas.... "na teoria a prática é simples, já na prática as coisas são
diferentes".

[]s
-- 
Renato Botelho