Sziasztok, POP3-at Plug proxyval viszam at a szerverre es ADSL-es kapcsolatrol ha jon valaki, aki winpoettel van windows alol, keptelen letolteni a leveleit. mert az autentikacio utan elakad. Viszont minden mas esetben jol mukodik....nem ertem, hogy van ez! Valakinek valami otlete? sziasztok, Istvan
On Thu, Sep 05, 2002 at 04:42:14PM +0200, Ifj. Darvas Istvan wrote:
Sziasztok,
POP3-at Plug proxyval viszam at a szerverre es ADSL-es kapcsolatrol ha jon valaki, aki winpoettel van windows alol, keptelen letolteni a leveleit. mert az autentikacio utan elakad. Viszont minden mas esetben jol mukodik....nem ertem, hogy van ez!
Valakinek valami otlete?
maga a tuzfal az adott gep fele jol tud kommunikalni? gondolok itt a mindenfele misztikus mtu problemara, esetleg az ICMP fragmentation needed uzenet tiltasara. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
sziasztok,
POP3-at Plug proxyval viszam at a szerverre es ADSL-es kapcsolatrol ha jon valaki, aki winpoettel van windows alol, keptelen letolteni a leveleit. mert az autentikacio utan elakad. Viszont minden mas esetben jol mukodik....nem ertem, hogy van ez!
Valakinek valami otlete?
maga a tuzfal az adott gep fele jol tud kommunikalni? gondolok itt a mindenfele misztikus mtu problemara, esetleg az ICMP fragmentation needed uzenet tiltasara.
Igen. Velemenyem szerint igen! Nincs semmilyen ICMP uzenet letiltva + 1024 felett engedelyezve van a tuzfalon a DMZ-bol jovo minden protokol. alatta meg amire szuksege van az termeszetesen ki van engedve. gondolok itt SMTP, DOMAIN. Egyebkent lehet, hogy nmem ertettem pontosan a kerdesedet Bazsi...szoval, ha leirnad, hogy egesz pontosan mit nezzek meg, akkor megteszem. Egyebkent meg nem ertem, mert tenyelg csak az emlitett konfiguracioval rendelkezo kapcsolatok akadnak el. En pl. kabelrol siman hasznalom. modemrol is! sziasztok, Istvan
2002. szeptember 5. 20:03 dátummal Ifj. Darvas Istvan ezt írta:
sziasztok,
POP3-at Plug proxyval viszam at a szerverre es ADSL-es kapcsolatrol ha jon valaki, aki winpoettel van windows alol, keptelen letolteni a leveleit. mert az autentikacio utan elakad. Viszont minden mas esetben jol mukodik....nem ertem, hogy van ez!
Valakinek valami otlete?
maga a tuzfal az adott gep fele jol tud kommunikalni? gondolok itt a mindenfele misztikus mtu problemara, esetleg az ICMP fragmentation needed uzenet tiltasara.
Igen. Velemenyem szerint igen! Nincs semmilyen ICMP uzenet letiltva + 1024 felett engedelyezve van a tuzfalon a DMZ-bol jovo minden protokol. alatta meg amire szuksege van az termeszetesen ki van engedve. gondolok itt SMTP, DOMAIN.
Egyebkent lehet, hogy nmem ertettem pontosan a kerdesedet Bazsi...szoval, ha leirnad, hogy egesz pontosan mit nezzek meg, akkor megteszem. Egyebkent meg nem ertem, mert tenyelg csak az emlitett konfiguracioval rendelkezo kapcsolatok akadnak el. En pl. kabelrol siman hasznalom. modemrol is!
sziasztok, Istvan
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu Hali!
Szerintem Bazsinak lehet igaza, mindenesetre erdemes megnezni. Egyszer volt hasonlo problemank, egy userrrel, akinek minden latszolag mukodott, csak egyik http serverunket nem tudta normalisan elerni. Routolasra gyanakodtunk, de a szolgaltato bealittatta vele az mtu-t (adsl-nel elvileg lehetne magasabb) 1452-re talan, pontosan nem emlekszem. Es minden meggyogyult. Udv -- Danoczy Peter Online Rendszergazda KJK-Kerszov Kft. dano@complex.hu
On Thu, Sep 05, 2002 at 08:21:16PM +0200, Peter Danoczy <dano@complex.hu> wrote:
egyik http serverunket nem tudta normalisan elerni. Routolasra gyanakodtunk, de a szolgaltato bealittatta vele az mtu-t (adsl-nel elvileg lehetne magasabb) 1452-re talan, pontosan nem emlekszem. Es minden meggyogyult. ADSL -nel 1492 -a default. Eljen Amerika:) DE ! Amint egy kicsit is instabil a vonal vagy az egyik elosztoallomas, azonnal szakadozni kezd a vonal. Rendszerint BDSl -nel szokta ezt megjatszani erdekes modon. Ilyenkor a legegyertelmubb log a postfix logjaiban talalhato: timeout kifele. Nekem van kb 6 BDSL ugyfelem, igy en mielott felhivom az axelerot meg szoktam csinalni a hibahatarolast tavolrol, hogy ne keljen a technikusra varni, amig kijon es megcsinalja. Egyszeru: fogod 100 -a val csokkented az mtu -t, a ppp interfacen. Ha nagyon szakadozik a vonal nem ritka, hogy 390 !-es MTU val megy a rendszer. Eleg szegyen, de van olyan ceg, ahol nem tudtak megoldani a problemat ezert havi 20 rugot elengedtek a havi zsetonbol. Szerintem neked is hasonlo problemad lehet. -- Guska
http://vidampark.gnu.hu GPG public key: http://www.guska.hu/gpg-public-key-guska.asc
On Thu, Sep 05, 2002 at 08:03:51PM +0200, Ifj. Darvas Istvan wrote:
sziasztok,
POP3-at Plug proxyval viszam at a szerverre es ADSL-es kapcsolatrol ha jon valaki, aki winpoettel van windows alol, keptelen letolteni a leveleit. mert az autentikacio utan elakad. Viszont minden mas esetben jol mukodik....nem ertem, hogy van ez!
Valakinek valami otlete?
maga a tuzfal az adott gep fele jol tud kommunikalni? gondolok itt a mindenfele misztikus mtu problemara, esetleg az ICMP fragmentation needed uzenet tiltasara.
Igen. Velemenyem szerint igen! Nincs semmilyen ICMP uzenet letiltva + 1024 felett engedelyezve van a tuzfalon a DMZ-bol jovo minden protokol. alatta meg amire szuksege van az termeszetesen ki van engedve. gondolok itt SMTP, DOMAIN.
Egyebkent lehet, hogy nmem ertettem pontosan a kerdesedet Bazsi...szoval, ha leirnad, hogy egesz pontosan mit nezzek meg, akkor megteszem. Egyebkent meg nem ertem, mert tenyelg csak az emlitett konfiguracioval rendelkezo kapcsolatok akadnak el. En pl. kabelrol siman hasznalom. modemrol is!
tcpdump-olj ra az adott user ip-jere. lehet, hogy az o oldalan vannak szurve az icmp uzenetek. valoszinuleg azt fogod latni, hogy egy ido utan (bejelentkezes utan) nem kuld semmit, a te oldalad pedig varakozik. a tcpdump kimenetet eleg jol lehet ertelmezni ethereal-lal. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
sziasztok, ahogy mondtatok....nala volt ICMP tiltas....most az van, hogy mindent bekapcsoltattam vele! es ugy nez ki mukodik...bar meg mindig nem ertem ;-( van valami jo olvasmany, ami leirja ezt akkor szivesen vennek egy linket! (gondolom ez alap halozati problema volt) sziasztok, Istvan ----- Original Message ----- From: "Balazs Scheidler" <bazsi@balabit.hu> To: <zorp-hu@lists.balabit.hu> Sent: Friday, September 06, 2002 9:42 AM Subject: Re: [zorp-hu] Erdekes hiba...
On Thu, Sep 05, 2002 at 08:03:51PM +0200, Ifj. Darvas Istvan wrote:
sziasztok,
POP3-at Plug proxyval viszam at a szerverre es ADSL-es kapcsolatrol ha jon valaki, aki winpoettel van windows alol, keptelen letolteni a leveleit. mert az autentikacio utan elakad. Viszont minden mas esetben jol mukodik....nem ertem, hogy van ez!
Valakinek valami otlete?
maga a tuzfal az adott gep fele jol tud kommunikalni? gondolok itt a mindenfele misztikus mtu problemara, esetleg az ICMP fragmentation needed uzenet tiltasara.
Igen. Velemenyem szerint igen! Nincs semmilyen ICMP uzenet letiltva + 1024 felett engedelyezve van a tuzfalon a DMZ-bol jovo minden protokol. alatta meg amire szuksege van az termeszetesen ki van engedve. gondolok itt SMTP, DOMAIN.
Egyebkent lehet, hogy nmem ertettem pontosan a kerdesedet Bazsi...szoval, ha leirnad, hogy egesz pontosan mit nezzek meg, akkor megteszem. Egyebkent meg nem ertem, mert tenyelg csak az emlitett konfiguracioval rendelkezo kapcsolatok akadnak el. En pl. kabelrol siman hasznalom. modemrol is!
tcpdump-olj ra az adott user ip-jere. lehet, hogy az o oldalan vannak szurve az icmp uzenetek.
valoszinuleg azt fogod latni, hogy egy ido utan (bejelentkezes utan) nem kuld semmit, a te oldalad pedig varakozik.
a tcpdump kimenetet eleg jol lehet ertelmezni ethereal-lal.
-- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
On Sun, Sep 08, 2002 at 02:10:03PM +0200, Ifj. Darvas Istvan <Fireking@DarviNET.Hu> wrote:
ahogy mondtatok....nala volt ICMP tiltas....most az van, hogy mindent bekapcsoltattam vele! es ugy nez ki mukodik...bar meg mindig nem ertem ;-( van valami jo olvasmany, ami leirja ezt akkor szivesen vennek egy linket! (gondolom ez alap halozati problema volt) Ez nem alap halozati problema volt. Egyszer, reges regen volt egy hiba a kernelben, melyet kihasznalva a "ping of death" volt elerheto. Nos, a ping is egy ICMP csomag, nevezetesen az echo request tipus az ICMPn belul. Alap problema szokott lenni, hogy sokan azt hiszik, ha a pingelest tiltjak, akkor megoldodik sok minden es az egy csodaszer. Es ezert letiltjak a teljes ICMP forgalmat. Az ICMP-nek csak egy resze a pinget kezelo resz, es az ICMPbol az 'MP' betuk azt jelentik, hogy management protokol. Na, ha mindent letiltasz benne, akkor nem kapsz hibajelzeseket es meg sok hasznos dolgot a routerektol es mas gepektol. Pl tul gyorsan adod az adatot, a halozat nem elerheto es hasonlo dolgot. Sok olyan dolog van benne, amit valoban korlatozni kell, de esszel. Az ICMP-k tipusairol sok leiras kering a neten, de a kernel forrassban is talalsz infot boven. Udv, Ago
On 2002 Sep 08, Deim Agoston wrote:
On Sun, Sep 08, 2002 at 02:10:03PM +0200, Ifj. Darvas Istvan <Fireking@DarviNET.Hu> wrote:
ahogy mondtatok....nala volt ICMP tiltas....most az van, hogy mindent bekapcsoltattam vele! es ugy nez ki mukodik...bar meg mindig nem ertem ;-( van valami jo olvasmany, ami leirja ezt akkor szivesen vennek egy linket! (gondolom ez alap halozati problema volt) Ez nem alap halozati problema volt. Egyszer, reges regen volt egy hiba a kernelben, melyet kihasznalva a "ping of death" volt elerheto. Nos, a ping is egy ICMP csomag, nevezetesen az echo request tipus az ICMPn belul. Alap problema szokott lenni, hogy sokan azt hiszik, ha a pingelest tiltjak, akkor megoldodik sok minden es az egy csodaszer. Es ezert letiltjak a teljes ICMP forgalmat. Az ICMP-nek csak egy resze a pinget kezelo resz, es az ICMPbol az 'MP' betuk azt jelentik, hogy management protokol. Na, ha mindent letiltasz benne, akkor nem kapsz hibajelzeseket es meg sok hasznos dolgot a routerektol es mas gepektol. Pl tul gyorsan adod az adatot, a halozat nem elerheto es hasonlo dolgot. Sok olyan dolog van benne, amit valoban korlatozni kell, de esszel. Az ICMP-k tipusairol sok leiras kering a neten, de a kernel forrassban is talalsz infot boven.
ugyugy! mi akovetkezoket szoktuk engedni: 3, 4, 11, 12: 3 -> destination-unreachable 4 -> source-quench 11 -> time-exceeded 12 -> parameter-problem Ezekre van szukseg a helyes mukodeshez. Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
sziasztok,
ugyugy! mi akovetkezoket szoktuk engedni: 3, 4, 11, 12:
3 -> destination-unreachable 4 -> source-quench 11 -> time-exceeded 12 -> parameter-problem
Ezekre van szukseg a helyes mukodeshez.
Höltzl Péter
ezeket be engedni a tuzfalra es ezeket kell kiengedni? sziasztok,
On 2002 Sep 09, Ifj. Darvas Istvan wrote:
sziasztok,
ugyugy! mi akovetkezoket szoktuk engedni: 3, 4, 11, 12:
3 -> destination-unreachable 4 -> source-quench 11 -> time-exceeded 12 -> parameter-problem
Ezekre van szukseg a helyes mukodeshez.
ezeket be engedni a tuzfalra es ezeket kell kiengedni?
igen Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
A levelezőm azt hiszi, hogy HOLTZL Peter a következőeket írta:
On 2002 Sep 09, Ifj. Darvas Istvan wrote:
sziasztok,
ugyugy! mi akovetkezoket szoktuk engedni: 3, 4, 11, 12:
3 -> destination-unreachable 4 -> source-quench 11 -> time-exceeded 12 -> parameter-problem
Parameter problem minek?
Ezekre van szukseg a helyes mukodeshez.
ezeket be engedni a tuzfalra es ezeket kell kiengedni?
Csak a tűzfalig. -- GNU GPL: csak tiszta forrásból
On 2002 Sep 09, Magosányi Árpád wrote:
Parameter problem minek?
Ha hibas egy datagramm fejlece, akkor ilyen kodu ICMP uzenetete general. Type 12, code 0 vagy 1. 0: IP header bad (catchall error) 1: required option missing "If the gateway or host processing a datagram finds a problem with the header parameters such that it cannot complete processing the datagram it must discard the datagram. One potential source of such a problem is with incorrect arguments in an option. The gateway or host may also notify the source host via the parameter problem message. This message is only sent if the error caused the datagram to be discarded." http://www.freesoft.org/CIE/RFC/792/5.htm Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
A levelezőm azt hiszi, hogy HOLTZL Peter a következőeket írta:
On 2002 Sep 09, Magosányi Árpád wrote:
Parameter problem minek?
Ha hibas egy datagramm fejlece, akkor ilyen kodu ICMP uzenetete general. Type 12, code 0 vagy 1.
És nem feltételezhetjük hogy mi nem küldünk hibás csomagot? :) -- GNU GPL: csak tiszta forrásból
On 2002 Sep 09, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy HOLTZL Peter a következőeket írta:
On 2002 Sep 09, Magosányi Árpád wrote:
Parameter problem minek?
Ha hibas egy datagramm fejlece, akkor ilyen kodu ICMP uzenetete general. Type 12, code 0 vagy 1.
És nem feltételezhetjük hogy mi nem küldünk hibás csomagot? :)
toredelmesen bevallom: a Bazsi monta!;-)))))))))))))))))))) Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
On Mon, Sep 09, 2002 at 01:15:16PM +0200, HOLTZL Peter wrote:
On 2002 Sep 09, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy HOLTZL Peter a következőeket írta:
On 2002 Sep 09, Magosányi Árpád wrote:
Parameter problem minek?
Ha hibas egy datagramm fejlece, akkor ilyen kodu ICMP uzenetete general. Type 12, code 0 vagy 1.
És nem feltételezhetjük hogy mi nem küldünk hibás csomagot? :)
toredelmesen bevallom: a Bazsi monta!;-))))))))))))))))))))
en ????? nem emlexem. :) amugy ICMP parameter problema eseten a socket-re hibakod all be (EPROTO hibaval), ezert tulajdonkeppen ez egy DoS lehetoseg: ha a tamado megsejti, hogy milyen kapcsolatok mennek at a tuzfalon, es tudja, hogy ez a kapcsolat milyen sequence numbereket hasznal, akkor kiforceolhat egy kapcsolat lezarast. bar ezt megteheti egy egyszeru RST-vel is. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
participants (7)
-
Balazs Scheidler
-
Csaba S. Varga
-
Deim Agoston
-
HOLTZL Peter
-
Ifj. Darvas Istvan
-
mag@bunuel.tii.matav.hu
-
Peter Danoczy