[zorp-hu] Ftp =?iso-8859-1?Q?fiask=F3?=

[Balazs Scheidler]

On Wed, Jan 22, 2003 at 12:18:22PM +0100, Deim Agoston wrote:
> Balazs Scheidler <bazsi@balabit.hu> irta:
> > > iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 
> > > --dport 40000:41000  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> > ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem
> > kell, maximum az ESTABLISHED.
> ja, elég vicces lenne beengedni egy NEW csomagot ami úgy jön, mintha
> válasz lenne. De ha jól emlékszem a Zorp itt még segít, nem? Emlékeim
> szerint figyeli, hogy nem-e nyitottak vissza tunnelt es hasonlok
> illetve, hogy valóban élő kapcsolathoz tartozik-e? Így végülis nem túl
> nagy hiba a fenti, ha annak tekintjük egyátalán az esztétikait...

kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var,
tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.

TPROXY patchel az osszes Zorp-hoz kapcsolodo TCP kapcsolat (akar bejovo,
akar kimeno) megoldhato egyetlen szaballyal:

iptables -A INPUT -m tproxy -j ACCEPT

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1