Balazs Scheidler wrote:
On Wed, Jan 22, 2003 at 12:18:22PM +0100, Deim Agoston wrote:
Balazs Scheidler <bazsi@balabit.hu> irta:
iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 --dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED.
ja, elég vicces lenne beengedni egy NEW csomagot ami úgy jön, mintha válasz lenne. De ha jól emlékszem a Zorp itt még segít, nem? Emlékeim szerint figyeli, hogy nem-e nyitottak vissza tunnelt es hasonlok illetve, hogy valóban élő kapcsolathoz tartozik-e? Így végülis nem túl nagy hiba a fenti, ha annak tekintjük egyátalán az esztétikait...
kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.
csodalkoztam is :-) en anno addig probalgattam ezeket a dolgokat amig ossze nem jott. és ez esetben is biztos hogy a távoli gép a zorp által definiált tartományba nyit vissza, vagy 1024+? mindenesetre forgatnom kell egy új kernelt ...
TPROXY patchel az osszes Zorp-hoz kapcsolodo TCP kapcsolat (akar bejovo, akar kimeno) megoldhato egyetlen szaballyal:
iptables -A INPUT -m tproxy -j ACCEPT
ezt nem igazán értem... akkor hol konfigolod fel a portokat? a zorp szól a kernelnek hogy mit kell kinyitni?