[zorp-hu] ftp bounce attack

Kosa Attila zorp-hu@lists.balabit.hu
Wed, 16 Jul 2003 12:36:58 +0200


On Wed, Jul 16, 2003 at 11:26:10AM +0200, SZALAY Attila wrote:
> On 2003 Jul 16, Kosa Attila wrote:
> > 
> > Jul 15 16:06:26 fw zorp_ftp[26764]: (zorp-ftp@cegnev.hu/intra_ftp:4/ftp): Possibly bounce attack; connect='TRUE', remote='AF_INET(192.168.1.1:42774)'
> 
> Az adatkapcsolat es a parancskapcsolat nem ugyanazt az ip-t akarta
> hasznalni.
> Sajnos azt nem tudom megallapitani, hogy a kliens vagy a szerver oldalon,
> ezert most a kliens oldalt feltetelezve mondom el:

Az a helyzet, hogy csak egy squidon keresztul lehet kimenni a netre (o
pedig a Zorpon keresztul megy). Mivel eddig ilyet nem tapasztaltam a
squid reszerol, ezert ugy erzem, hogy nem a kliens oldalon tortent
turpissag. Az az erdekes, hogy a 192.168.1.1 cim a tuzfal egyik laba...

-- 
		Udvozlettel
				    Zsiga