English | German

ГЛАВНАЯ  |   ПРОДУКТЫ  |   РЕШЕНИЯ  |   ЗАГРУЗИТЬ  |   КУПИТЬ  |   ПОДДЕРЖКА  |   КОМПАНИЯ
 
 / TFTP через фаервол: Как это работает?

TFTP через фаервол: Как это работает?

Использование протокола TFTP часто вызывает затруднение в сетях, оснащенных межсетевыми экранами или средствами NAT. Это связано с тем, что протокол TFTP использует в качестве транспорта UDP, а также со способом организации передачи файлов.

Протокол TFTP используется в качестве простого средства передачи файлов там, где вычислительная мощность клиентов ограничена, а средства авторизации доступа не являются обязательными. Использование UDP в качестве протокола транспортного уровня позволяет значительно снизить требования к мощности процессора и требуемому объему оперативной памяти. Однако, UDP не является протоколом с установлением соединения. Следовательно, забота об эмуляции соединений ложится на протокол уровня приложения, т.е. непосредственно на протокол TFTP. Большинству межсетевых экранов неизвестен способ идентификации соединений в протоколе TFTP, поэтому эти устройства не могут корректно пропускать данный тип трафика.

Настройки, необходимые для работы TFTP в защищенной сети, зависят от расположения клиентов и сервера TFTP относительно файрвола. В самом простом случае сервер TFTP находится в защищенной сети, а клиенты – перед файрволом. При правильной настройке файлвола проблем здесь как правило не возникает. Для корректной работы сервера TFTP в этой сети необходимо выполнить на файрволе следующие настройки:

  • Добавить правило статической трансляции трафика TFTP (порт 69 UDP) с одного из внешних IP-адресов сети на адрес сервера TFTP во внутренней сети.
  • Разрешить трафик TFTP из публичной сети на внешний IP-адрес, для которого было настроено правило трансляции.
  • Разрешить весь трафик UDP с сервера TFTP во внешнюю сеть. Настройки по умолчанию для многих типов устройств не ограничивают трафик из более защищенной сети в менее защищенную. В случае наличия на вашем устройстве ограничений, настройте явное правило, разрешающее трафик TFTP во внешнюю сеть.

    Пример:

    Необходимо настроить устройство Cisco PIX для публикации сервера TFTP, находящегося в DMZ сети предприятия. Сервер TFTP должен быть доступен для доступа из публичной сети. Адрес сервера TFTP в DMZ – 10.0.0.2. Публичный адрес сети предприятия – 62.76.23.14. Для публикации сервера TFTP необходимо выполнить следующие команды на файрволе:

    static (inside,outside) udp 62.76.23.14 tftp 10.0.0.2 tftp netmask 255.255.255.255 0 0
    conduit permit udp host 62.76.23.14 eq tftp any
    

    Первая команда добавляет правило, согласно которому трафик TFTP, приходящий на адрес 62.76.23.14, транслируется на адрес 10.0.0.2. Вторая команда разрешает трафик TFTP на внешний адрес сети. Трафик из внутренней сети во внешнюю разрешен по умолчанию.

    Ситуация усложняется, если необходимо обеспечить доступ клиентов из защищенной сети к внешнему серверу TFTP. Запрашивая файл, клиент отправляет со случайно выбранного порта UDP на порт UDP 69 сервера TFTP пакет TFTP RRQ. Так как пакет отправляется из более защищенной сети в менее защищенную, файрвол пересылает его серверу TFTP. При пересылке пакета файрвол добавляет в таблицу трансляции запись, соответствующую соединению по протоколу UDP между выбранным портом клиента и портом 69 сервера TFTP. Согласно RFC 1350, сервер отправляет клиенту со случайно выбранного порта пакет TFTP DATA. Однако, файрвол отбрасывает этот пакет, т.к не может найти в таблице трансляции существующее соединение между выбранным портом сервера и портом клиента.

    Устройства, подобные Cisco PIX, могут просматривать проходящий трафик TFTP и динамически добавлять записи в таблицу трансляции, разрешающие прохождение ответов TFTP из внешней сети в сеть предприятия. Для включения данного режима на файрволе Cisco PIX служит команда fixup protocol tftp.

    Другой способ решения проблемы – заставить сервер TFTP использовать порт 69 не только для приема запросов, но и для отправки ответов клиентам. В этом случае файрвол будет корректно пересылать ответы клиенту в соответствии с имеющейся в таблице трансляции записью. Вы можете включить этот режим работы в WinAgents TFTP Server, установив опцию ‘Enable firewall support’ в окне настроек программы.


  • ГЛАВНАЯ  |   ПРОДУКТЫ  |   РЕШЕНИЯ  |   ЗАГРУЗИТЬ  |   КУПИТЬ  |   ПОДДЕРЖКА  |   КОМПАНИЯ
    Copyright © 1999-2017 ООО "Тандем Системс". Все права зарезервированы.