lonely wolf wrote:
Samareanu Florin wrote:
On Tue, 2 May 2006, lonely wolf wrote:
renunta la timpenia cu port 20 si aranjeaza-ta de un match state
--state RELATED,ESTABLISHED. evident cu conntrak ftp incarcat.
aia cu port 20 era solutia de acum 15 ani cind conn tracking nu se
inventase inca
poate sunt eu mai blonda azi sau nu am dormit suficient azi noapte.
de fapt nu am dormit deloc.
explica-mi ca pentru ametiti/oameni nebauti cafea ce trebuie sa fac
exact.
mersi mult
solutia cu port 20+21 nu functioneaza DECIT pt ftp activ. In cazul
ftp-ul pasiv, canalul de control ( adica port 21 ) este utilizat pt a
negocia ( dinamic ! ) un port pe care are loc ulterior transferul de
date. in cazul tau, daca ai ftp pasiv, se intimpla cam asa
- se initiaza conexiunea (pe port 21)
- ruterul tau aplica regula cu port 21 si redirectioneaza pachetzii
spre al 2-lea gw
- ala raspunde
- se stabileste conexiunea
- clientul isi doreste "ceva" (date)
- se incearca negocierea unui port dinamic si .. surpriza.. ruterul
tau da de pamint (sau le expediaza aiurea, e tot aia) cu pachetele
fiindca nu stie ce altceva sa faca
Modulele de kernel care se ocupa de connection tracking monitorizeaza
exact acest gen de cazuri (problema apare nu numai pt ftp ci si pe
alte protocoale care deschid mai multe conexiuni simultane).
Eu in locul tau as incerca ceva de genul (adauga ce simti ca te face
sa te simti mai bine dpdv securitate):
iptables -t nat -A PREROUTING-p tcp -m state --state
ESTABLISHED,RELATED -j ACCEPT
ba cred ca o sa vrei si NEW pe linga cele 2 de mai sus ...
--
Never underestimate the havoc that can be wreaked by misunderstanding the
documentation.
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
