[zorp-hu] ftp-s kerdes

[SZALAY Attila]

Hi!

On 2001 Jun 06, Kosa Attila wrote:
> Jun  6 11:20:57 fw zorp-web[3352]: (zorp-web@shinwa.hu/bi_ftp:6/ftp):
> Dropped line: SYST

A zorp-nak minden protokollra van egy adatbazisa, hogy mely parancsokat
engedi at, melyeket dobja el, es melyek eseten bontsa az egesz kapcsolatot.

Epp ezert van ket elore definialt Ftp osztaly, az FtpProxyMinimal es
az FtpProxyAllow. Ebbol az FtpProxyMinimal-ban alapertelmezetten
el vannak dobva a parancsok, es csak egy "minimalis" kor van engedelyezve.
Ebbe valamiert (meg) nem kerult bele a SYST parancs, ezert a zorp
ezt eldobta. Ez elmeletileg nem befolyasolja a kapcsolatot.

Viszont elkepzelheto olyan szituacio, amikor megis szukseg van erre a
parancsra. (Pl. mert a valasz alapjan csinalna valamit a kliens)


Ekkor (_ebben az esetben_) az a legegyszerubb, ha ezt a
/usr/share/zorp/pylib/Zorp/Ftp.py-ba irod be.

Elsonek az FtpProxyMinimal config fuggvenyebe ird azt, hogy
self.commands["SYST"] = (FTP_ACCEPT)

Viszont a valaszokat is engedni kell, ehhez a loadAnswers fuggvenybe
be kell illeszteni a kovetkezo sorokat:

self.answers["SYST215"]  = (FTP_ACCEPT)
self.answers["SYST500"]  = (FTP_ACCEPT)
self.answers["SYST501"]  = (FTP_ACCEPT)
self.answers["SYST502"]  = (FTP_ACCEPT)
self.answers["SYST421"]  = (FTP_ACCEPT)

Azert hasznalhato ez most, mert a kovetkezo Zorp verzio mar tartalmazni
fogja ezt. Kulonben egy upgrade ezt felulirna.

Ha egy olyan parancsot akarsz engedelyezni, ami nagy valoszinuseggel
csak neked kell, (mert pl. nem is igazan ftp-t csak ftp-hez nagyon hasonlo
protokollt kell atvinned) akkor erdemesebb egy szarmaztatott osztaly
letrehozni a policy.py-ba, es annak a config fuggvenyebe irni ezeket.

-- 
Szalay Attila                         BalaBit IT Biztonságtechnikai Kft.
tel/fax:(36-1)-217-14-98              1092 Bp. Köztelek u. 4/b
mobil:(36-20)-950-30-55               http://www.balabit.hu