Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Access-list (ACLs) cho FTP

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Access-list (ACLs) cho FTP

    Hi all,
    Bên chỗ mình có cài đặt server FTP để mọi người vào lấy dữ liệu. Bên mình sẽ tạo user/pass cho từng đơn vị. Mình có viết một ACLs để permit vào máy cài FTP server này: 10.10.10.10, ALCs được viết trên Router C3745-JS-M, và được apply trên interface nối tới các đơn vị bên ngoài.

    ip access-list extended FTP
    permit tcp any host 10.10.10.10 eq 8888 // port 8888 dùng cho web services
    permit tcp any host 10.10.10.10 eq 8181 // port 8181 là cổng ftp

    inter f0/0 // f0/0 là interface kết nối với các đơn vị bên ngoài
    ip access-group FTP in

    Kết quả là không vào được FTP server.
    Theo mình được biết là trong trường hợp mở cổng FTP khác với port standard 20, 21 thì phải dùng một kiểu ACLs khác.
    Xin nhờ các pro chỉ giáo
    Cám ơn nhiều,

  • #2
    đúng rùi, ftp có 2 mode active & passive. với acl như trên thì bợn thử dùng active ftp rùi test lại xem seo.

    Comment


    • #3
      Cám ơn bạn nhé, nhưng như thế thì phải buộc các client chuyển từ chế độ passive ftp sang active ftp. Có cách nào mà không phải chuyển không?

      Comment


      • #4
        Originally posted by user_name View Post
        Cám ơn bạn nhé, nhưng như thế thì phải buộc các client chuyển từ chế độ passive ftp sang active ftp. Có cách nào mà không phải chuyển không?
        oh, không có chi. không muốn vậy thì bạn thay extended ACL bằng Content Based ACL hoặc Zone Based FW nếu IOS hỗ trợ.

        Comment


        • #5
          Mình thử chuyển từ passive ftp sang active ftp tại client trên IE nhưng vẫn không được, vẫn chỉ là thông báo: can't open data connection.



          - theo như mình biết thì ftp trong window và firefox luôn là active ftp

          - Có cách nào không bạn nhỉ?

          Comment


          • #6
            Vừa mới tìm ra cách vẫn giữ nguyên ACLs trên, nhưng thêm tham số gt

            permit tcp any host 10.10.10.10 gt 1024

            Comment


            • #7
              permit tcp any host 10.10.10.10 gt 1024
              níu cấu hình như trên thì ACL của bạn wá lỏng lẻo. vì bạn chỉ muốn cho phép www & ftp thôi phải hem?

              Comment


              • #8
                Đúng rồi bạn ơi, có cách nào vừa đảm bảo y/c mà không bị lỏng lẻo không?

                Comment


                • #9
                  có luôn, bạn thử content-based fw hoặc zone-based fw trên IOS xem sao. dễ lắm.

                  Comment


                  • #10
                    Không biết với content-based access control thì phải như thế nào, nếu vẫn mở port 8181 như trên thì vì thằng ftp nó sinh ra các port ngẫu nhiên, nên trong quá trình kết nối lại sẽ bị lỗi

                    Comment


                    • #11
                      content-based hoặc zone-based fw biết chính xác đó là ftp traffic, hay nói cách khác là layer 7. vì vậy có bạn khỏi lo là port ngẫu nhiên hay không. bạn google 1 tẹo là được mà, sao lười wa đi

                      acl thông thường thì tới layer 4 thoai cho nên bạn phải biết chính xác port number

                      Comment


                      • #12
                        Cám ơn bạn nhiều nhé. Tiếc là thiết bị chỗ mình (C3745-JS-M), Version 12.2(13)T chưa hỗ trợ tính năng inspect này.

                        Comment


                        • #13
                          oh hem có chi

                          Comment

                          Working...
                          X