[zorp-hu] Ftp =?ISO-8859-2?Q?fiask=F3?=

narancs narancs@narancs.tii.matav.hu
Wed, 22 Jan 2003 13:12:35 +0100


Balazs Scheidler wrote:

>On Wed, Jan 22, 2003 at 12:18:22PM +0100, Deim Agoston wrote:
> =20
>
>>Balazs Scheidler <bazsi@balabit.hu> irta:
>>   =20
>>
>>>>iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20=20
>>>>--dport 40000:41000  -m state --state NEW,ESTABLISHED,RELATED -j ACCE=
PT
>>>>       =20
>>>>
>>>ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED =
nem
>>>kell, maximum az ESTABLISHED.
>>>     =20
>>>
>>ja, el=E9g vicces lenne beengedni egy NEW csomagot ami =FAgy j=F6n, min=
tha
>>v=E1lasz lenne. De ha j=F3l eml=E9kszem a Zorp itt m=E9g seg=EDt, nem? =
Eml=E9keim
>>szerint figyeli, hogy nem-e nyitottak vissza tunnelt es hasonlok
>>illetve, hogy val=F3ban =E9l=F5 kapcsolathoz tartozik-e? =CDgy v=E9g=FC=
lis nem t=FAl
>>nagy hiba a fenti, ha annak tekintj=FCk egy=E1tal=E1n az eszt=E9tikait.=
..
>>   =20
>>
>
>kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem va=
r,
>tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.
>
csodalkoztam is :-)
en anno addig probalgattam ezeket a dolgokat amig ossze nem jott.
=E9s ez esetben is biztos hogy a t=E1voli g=E9p a zorp =E1ltal defini=E1l=
t=20
tartom=E1nyba nyit vissza, vagy 1024+?

mindenesetre forgatnom kell egy =FAj kernelt ...

>TPROXY patchel az osszes Zorp-hoz kapcsolodo TCP kapcsolat (akar bejovo,
>akar kimeno) megoldhato egyetlen szaballyal:
>
>iptables -A INPUT -m tproxy -j ACCEPT
>
ezt nem igaz=E1n =E9rtem... akkor hol konfigolod fel a portokat?
a zorp sz=F3l a kernelnek hogy mit kell kinyitni?

>
> =20
>