On Fri, Jan 04, 2002 at 06:06:28PM -0800, Wolfgang Machert wrote:
es gibt da noch die variante den ftp-zugriff ueber ssh zu tunneln. falls es dich interessiert:
http://rad.geology.washington.edu/~tj/proftpd/doc/contrib/ProFTPD-mini-HOWTO...
lese, lese, fertig :)
bei der hierbei beschriebenen methode wird der command-port (21) durch den ssh tunnel gejagt und nur der daten-port geht passiv unverschluesselt rueber. behebt zumindest das problem mit den unverschluesselten passwoertern.
Als Vorraussetztung dafür brauch man auf dem Ftp-Server-Rechner einen ssh-Zugang. Und wenn man den sowieso hat kann man besser gleich per scp die files kopieren statt den ollen FTP über ssh zu tunneln. Ich halte deshalb das auf o.g. Webseite beschrieben Verfahren für weitestgehend sinnfrei. Wenn es unbedingt ftp-like aussehen soll nimmt man einfach sftp (ist bei openssh dabei)
allerdings habe ich die ganze sache nicht so richtig in mein netfilterkonzept (basierend auf iptbles) integrieren koennen (das ansonsten sowohl mit passivem als auch aktivem ftp funktioniert). vermutung: der kernel erkennt den passiven kanal vom server nicht in relation (= target RELATED im modul state) zur offenen ftp/ssh verbindung an.
ja, die FW kann den per ssh getunnelten Kommandokanal nicht mehr belauschen und somit den Daten-Kanal für aktives ftp nicht freischalten.
Reinhard