Samareanu Florin wrote:
On Tue, 2 May 2006, lonely wolf wrote:
renunta la timpenia cu port 20 si aranjeaza-ta de un match state
--state RELATED,ESTABLISHED. evident cu conntrak ftp incarcat.
aia cu port 20 era solutia de acum 15 ani cind conn tracking nu se
inventase inca
poate sunt eu mai blonda azi sau nu am dormit suficient azi noapte. de
fapt nu am dormit deloc.
explica-mi ca pentru ametiti/oameni nebauti cafea ce trebuie sa fac
exact.
mersi mult
solutia cu port 20+21 nu functioneaza DECIT pt ftp activ. In cazul ftp-ul
pasiv, canalul de control ( adica port 21 ) este utilizat pt a negocia (
dinamic ! ) un port pe care are loc ulterior transferul de date. in cazul tau,
daca ai ftp pasiv, se intimpla cam asa
- se initiaza conexiunea (pe port 21)
- ruterul tau aplica regula cu port 21 si redirectioneaza pachetzii spre al
2-lea gw
- ala raspunde
- se stabileste conexiunea
- clientul isi doreste "ceva" (date)
- se incearca negocierea unui port dinamic si .. surpriza.. ruterul tau da de
pamint (sau le expediaza aiurea, e tot aia) cu pachetele fiindca nu stie ce
altceva sa faca
Modulele de kernel care se ocupa de connection tracking monitorizeaza exact
acest gen de cazuri (problema apare nu numai pt ftp ci si pe alte protocoale
care deschid mai multe conexiuni simultane).
Eu in locul tau as incerca ceva de genul (adauga ce simti ca te face sa te
simti mai bine dpdv securitate):
iptables -t nat -A PREROUTING-p tcp -m state --state ESTABLISHED,RELATED -j
ACCEPT
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
