[zorp-hu] Ftp =?iso-8859-1?Q?fiask=F3?=

[Balazs Scheidler]

On Wed, Jan 22, 2003 at 01:21:58PM +0100, Deim Agoston wrote:
> Balazs Scheidler <bazsi@balabit.hu> irta:
> > > > > --dport 40000:41000  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> > > > ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem
> > > > kell, maximum az ESTABLISHED.
> > kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var,
> > tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.
> Javits ki ha rosszul tudom, de a Zorp 2.4-es kernellel nem mukodik jol
> TPROXY nélkül és nem is ajánlott a fenti módon használni. Persze ha
> lehet az ok, de miert ne hasznaljuk a lehetosegeket.

Hasznalni lehet, de elveszitesz egy csomo ertekes feature-t:

1) az FTP adatkapcsolati resze nem tud a szerver cimevel kapcsolodni a
   klienshez (sot extra beallitasokat kell tenni, hogy ne is ezzel
   probalkozzon, mert maskepp hibaval eldobja)
2) a DMZ-ben levo webszerver fele nem tudsz a kliens cimevel tovabb menni
   (azaz a webszerver a tuzfal IP cimet latja forraskent)
3) a Zorp nem fogja detektalni a TPROXY tamogatast, ezert nem fogja latni a
   kapcsolatok eredeti celjat (ez mondjuk feloldhato, mert a TPROXY es a
   sima REDIRECT ilyen szempontbol nem kulonbozik)

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1