Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 10370 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need a TFTP rule that works

Bob M
I want to be able to TFTP from my DMZ to an internal server.  I have a rule, but on the TFTP server I am getting timeout in the log, indicating that the server can't get out to the client.  The TFTP definition I added is:

TFTP  udp  1:65535  69

I originallly tried:

TFTP  udp  1024:65535  69

The rule is:

DMZ  TFTP  Home  Allow

BTW, all address space is public, no NATing.




 


This thread was automatically locked due to age.
Parents
  • 0
    Bob M,

    it is ages ago that I have worked with tftp but it is maybe possible that tftp
    also uses port 69 as source port? Anyway if the firewall filters the packets 
    it should be displayed in the livelog.

    Greetings
    cyclops
       
  • 0 in reply to cyclops
    Well, I went back and read the RFC, 1350.  I am going to have to 'talk' to Noel about the mess he designed (Noel Chiappa is a good friend of mine...)....

    Here is what TFTP does:

    The client selects a random source port, A, and sends the request as:

    req (A,69)

    The server then selects a random destination port, B, and sends the reply as:

    rep(B,A)

    To this the client then sends to:

    (A,B)

    This is mess for firewalls!  The firewall has to remember that first TFTP request, and then let through the corresponding reply to that source port from a random port! Otherwise, you have to open up all UDP ports.

    Any advise?

     
  • 0 in reply to William Warren
    There are issues recently regarding tftp and Windows vulnerabilities. Keep this in mind considering all the traffic on port 69 from this new msblaster worm. 
  • 0 in reply to William Warren
    [ QUOTE ]
    why not ftp?  

    [/ QUOTE ]

    Becuase firmware updates are dictated by the vendor.  In this case Agere Access Points, and they use TFTP.

    Use TFTP or don't upgrade.

     
  • 0 in reply to JimmyM
    [ QUOTE ]
    There are issues recently regarding tftp and Windows vulnerabilities. Keep this in mind considering all the traffic on port 69 from this new msblaster worm.  

    [/ QUOTE ]

    That was why the limited opening.  TFTP is ALWAYS a security risk.  I have seen people try to use my TFTP servers as ways to move porn around.

    The idea is to open it long enough to do the firmware updates then shut it down.  About 5 minutes.

    Given all the risks with TFTP, I was not about to put it on my DMZ, and it is not the easiest thing to move the access point to internal net, upgrade, then move it back...

     
Reply
  • 0 in reply to JimmyM
    [ QUOTE ]
    There are issues recently regarding tftp and Windows vulnerabilities. Keep this in mind considering all the traffic on port 69 from this new msblaster worm.  

    [/ QUOTE ]

    That was why the limited opening.  TFTP is ALWAYS a security risk.  I have seen people try to use my TFTP servers as ways to move porn around.

    The idea is to open it long enough to do the firmware updates then shut it down.  About 5 minutes.

    Given all the risks with TFTP, I was not about to put it on my DMZ, and it is not the easiest thing to move the access point to internal net, upgrade, then move it back...

     
Children