On Wed, Jan 22, 2003 at 01:21:58PM +0100, Deim Agoston wrote:
Balazs Scheidler <bazsi@balabit.hu> irta:
--dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED. kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul. Javits ki ha rosszul tudom, de a Zorp 2.4-es kernellel nem mukodik jol TPROXY nélkül és nem is ajánlott a fenti módon használni. Persze ha lehet az ok, de miert ne hasznaljuk a lehetosegeket.
Hasznalni lehet, de elveszitesz egy csomo ertekes feature-t: 1) az FTP adatkapcsolati resze nem tud a szerver cimevel kapcsolodni a klienshez (sot extra beallitasokat kell tenni, hogy ne is ezzel probalkozzon, mert maskepp hibaval eldobja) 2) a DMZ-ben levo webszerver fele nem tudsz a kliens cimevel tovabb menni (azaz a webszerver a tuzfal IP cimet latja forraskent) 3) a Zorp nem fogja detektalni a TPROXY tamogatast, ezert nem fogja latni a kapcsolatok eredeti celjat (ez mondjuk feloldhato, mert a TPROXY es a sima REDIRECT ilyen szempontbol nem kulonbozik) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1