[zorp-hu] Ftp =?iso-8859-1?Q?fiask=F3?=
Balazs Scheidler
bazsi@balabit.hu
Wed, 22 Jan 2003 13:25:38 +0100
On Wed, Jan 22, 2003 at 01:12:35PM +0100, narancs wrote:
> Balazs Scheidler wrote:
> >kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var,
> >tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.
> >
> csodalkoztam is :-)
> en anno addig probalgattam ezeket a dolgokat amig ossze nem jott.
> és ez esetben is biztos hogy a távoli gép a zorp által definiált
> tartományba nyit vissza, vagy 1024+?
az FTP proxy minden adatkapcsolati kezdemenyezest a sajat oldalan beszorit
egy porttartomanyba, ami alapbol 40000:41000. Ez 2.0-nal is igy van, csak
most mar ezt a tenyt nem hasznaljuk ki a csomagszuronel.
Nagyjabol a Zorpban megbizunk, hogy o tudja milyen dinamikus kapcsolatokat
kell nyitnia.
A csomagszurot most mar szinte csak a TPROXY-s elteritesekre hasznaljuk,
illetve az egyeb aranyos lehetosegekre, mint a SYN limit, ami alkalmazas
szintrol nehezen lenne elerheto.
>
> mindenesetre forgatnom kell egy új kernelt ...
>
> >TPROXY patchel az osszes Zorp-hoz kapcsolodo TCP kapcsolat (akar bejovo,
> >akar kimeno) megoldhato egyetlen szaballyal:
> >
> >iptables -A INPUT -m tproxy -j ACCEPT
> >
> ezt nem igazán értem... akkor hol konfigolod fel a portokat?
> a zorp szól a kernelnek hogy mit kell kinyitni?
igen. a portokat tovabbra is beallithatod az FTP proxynak, de mar nem
muszaj.
--
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1