Em có một câu hỏi nhỏ:

ftp dùng hai port: port 20 và 21. Nếu trên firewall em cấm port 20, điều gì sẽ xảy ra:

1. Thời gian trả lời ftp cho client chậm
2. ta ko thể dùng lệnh pwd hay lệnh cd
3. Ta không thể dùng các lệnh ls hoặc dir

em thì nghĩ rằng ftp sẽ ko work. Tuy nhiên các anh nào có kinh nghiệm làm việc trên fw rồi thì chỉ em với

Xin cám ơn

Nếu bạn cấm port 20 thì bạn vẫn login vào FTP server, và thực hiện các lệnh không liên quan đến việc truyền dữ liệu vô tư.

Còn việc cấm port 20 bạn không nói rõ là cấm như thế nào (dest port 20, src port 20..) nhưng nếu cấu hình fw cho FTP bạn nên chú ý rằng FTP có 2 mode tryền dữ liệu: active mode và passive mode
- Active mode(default): nếu bạn chạy FTP trên mode này thì khi thực thiện lệnh liện quan đến truyền dữ liệu bạn phải gửi lệnh PORT để thông báo cho FTP server biết là client đã sẵn sàng nhận/gủi dữ liệu ở IP/port nào, đến khi bạn thực hiện các lệnh truyền dữ liệu FTP server sẽ thiết lập một connection có src port là 20 vào IP/port mà bạn đã thông báo từ trước.
- Passive mode: khi bạn chuyển sang mode này (bằng lệnh PASV) thì FTP server sẽ thông báo cho bạn là việc truyền dữ liệu sẽ thực hiện trên IP/port nào, và sau khi thực hiện lệnh truyền dữ liệu thì ftp client sẽ lập 1 connection vào IP/port mà FTP server đã thông báo. Ở mode này không có khái niệm ftp-data port 20 nên nếu bạn cấm port 20 mà vẫn cho phép connect đến 1 port bất kỳ khác thì FTP vẫn hoạt động ở mode này bình thường.

Với việc phân chia active mode và passive mode bạn có thể truyền dữ liệu trực tiếp từ 2 ftp server với nhau (FXP).
Không phải tất cả các firewall đều support FTP active mode, một số firewall có co chế tự động detect các ftp session và tự động mở các port ftp data khi cần thiết.
Một số bạn sử dụng các IDS/personal firewall còn gặp trường hợp là vừa login được vào 1 FTP server nhưng sau khi gửi lệnh list directory thì không thể làm gì được nữa, ngay cả ping server đó cũng khống có reply, nguyên nhân là vì hệ thống IDS của bạn phát hiện có 1 connect từ ngoài vào máy tính của bạn và tự động deny IP của FTP server đó (có nghĩa là chính mình tự cấm mình :))

cám ơn anh rất nhiều.

Nhân tiện, anh cho hỏi về dns. Em đọc một số tài liệu có nói là dns có chạy trên cả tcp và udp đều với port 53. Vậy trên fw, nếu em muốn cho phép dns, em nên cho phép cả hai port hay một port ?

Hi Sinhvienngheo
Nếu muốn cho phép thì dùng cả 2 port
vidu
access-list acl_out permit tcp any host 203.162.x.y eq domain
access-list acl_out permit udp any host 203.162.x.y eq domain

Các ứng dụng DNS sử dụng UDP by default, nên bạn chỉ cần open UDP port 53 là đủ.

TCP 53 dùng để liên lạc giữa các DNS server với nhau

Hi nausicaa và Anh Phúc!

Cho mình hỏi, PIX mình đang config có NAT, mọi client trong inside đều đi ra ngoài được ( access-list acl_in permit tcp any any), dùng connect trực tiếp hay dùng chương trình download hoặc FTP client đều connect và download với các site FTP server bình thường. Tuy nhiên với site của Compaq ( ftp://ftp.compaq.com ) thì connect vào thì được, đến lệnh ls của ftp thì không thể thực hiện được nên không thể download được. Nếu dùng dialup bình thường thì download được. Vậy xin cho hỏi là phải khắc phục thế nào?

Xin cám ơn.

bạn nên kiểm tra lai xem có thể lúc đó net của compaq co vấn đề thôi

Hi nhatpc ,
Có vẻ như bạn đang gặp vấn đề về IDENT protocol (tcp 113) thường dùng trong một số ftp, http, pop server để định danh incoming users.
Bạn kiểm tra lại xem có phải PIX của bạn chạy OS từ 6.1 trở về trước không?
Nếu đúng như vậy thì bạn thử 1 trong những cách sau:
1/ upgrade lên OS 6.2 hay 6.3
2/ thêm command: service resetinbound
3/ dùng lệnh established với permitto tcp 113 options, cách này hơn nguy hiểm vì sẽ tạo ta security risk.
Bạn thử xem và cho mình biết kết quả nhé.
Chúc thành công
phuchvt

Anh phuchvt có thể giải thích giúp cho mọi người hiểu rõ hơn về vấn đề IDENT protocol (tcp 113) được không ạ

Hi Anh Phúc!

PIX cũ xài 6.1(4), em đã thử dùng lệnh service resetinbound nhưng cũng không chạy. Sau đó upgrade lên 6.3(2) và giữa nguyên cấu hình cũ cũng không chịu chạy luôn. Cuối cùng là vẫn dùng IOS 6.3(2) và remove cái service resetinbound cũng không được luôn. Em chưa thử cái lệnh thứ 3 được vì hơi rối rắm chưa hiểu :D

Anh có giải pháp nào khác không nhỉ? Nhân tiện anh giải thích về IDENT protocol (tcp 113) cho em hiểu dùm luôn đi.

Thanks a lot.

nhatpc@

Ident protocol thường được dùng với các server unix, để xác định xem connection của bạn xuất phát từ user nào trên server đó. Ident service được bind trên port tcp 113.
Một VD đơn giản: khi bạn login vào "userxx" trên máy unix, và bạn dùng ftp connect đến ftp server, nếu ftp server đó có nhu cầu ident thì ftp server đó sẽ connect ngược trở về máy unix của bạn vào port 113, dùng ident protocol để xác định và biết được là bạn đang chạy ftp trên "userxx".
Ident thường được các IRC server sử dụng để xác định user, một số IRC server còn bắt buộc phải có ident mới được login, vì Windows không có ident service nên irc client thông dụng trên windows hiện nay là mIRC có sẵn ident service nhưng đó chỉ là 1 ident giả lập thôi, bạn có thể nhập bất kỳ 1 username nào đó cho ident serice của mIRC.
Mình không nghĩ là bạn gặp vấn đề về ident với ftp của compaq đâu, vì với 1 public ftp như thế mà đòi hỏi ident thì hầu hết user không thể connect vào được đâu.

Chao moi nguoi,
Cac client khong the dung ftp cua HP là vi o Pix khong cho phep thoi.
Day là vidu:
name 191.9.211.0 Admin
access-list inside_access_in permit tcp Admin 255.255.255.0 any eq ftp

Cac may co IP 191.9.211.X thi dung ftp neu khong thi khong the dung ftp tren HP.