ipfw & ftp, icq atp.
adam
adam at voyager.op.i.cz
Mon Jul 16 13:15:14 CEST 2001
On Sun, Jul 15, 2001 at 04:16:01PM +0200, Josef Hrabec wrote:
> Nechal jsem jenom tri pravidla:
>
> 00100 divert 8668 ip from any to any via xl0
> 00200 allow ip from any to any
> 65535 deny ip from any to any
>
> (interni sit s nat)
>
> protokol ftp funguje, je mozny download i upload ven z interni site
> kdyz jsem toto mel v linuxu tak se pro ftp musel nahrat zvlastni modul,
> ve freeBSD to funguje "hned"
>
> ale ICQ nebo treba MS NetMeeting funguje jenom z "poloviny",
> jde to z interni site ven ale uz ne zpet
> (napr. poslat soubor pomoci icq lze ze site ven ale uz ne z venci dovnitr)
>
> Nevite prosim nekdo, co je treba do ipfw nebo snad jadra jeste pridat,
> aby se vsechny pakety dostaly jak ven tak i dovnitr?
Aby se ti dostala spojeni take dovnitr lze udelat nekolika zpusoby:
1. Bud pouzijes ipf a ipnat a udelas staticky preklad 1:1
2. Nainstalujes si socks proxy. ICQ umi se socks spolupracovat, takze ti pojede icq uplne v pohode. Tato varianta ti pojede jak s ipfw tak s ipf.
Samozreme musis u obou variant nastavit spravne pravidla v ipfw nebo ipf.
Bezpecnejsi je varianta 2. i kdyz tak bezpecne jako zadna to samozrejme neni ;-)))
Kazdopadne z bezpecnostniho hlediska je lepsi kdyz ti ICQ pojede pouze na pul. Posilat zpravy lze - coz je u ICQ nejdulezitejsi. Kdyz povolis vse tak ti muze nekdo haknout pres icq systemy ve vnitr coz neni moc dobre.
Adam
>
>
> (neuvazuji ted nad bezpecnosti interni site)
>
>
>
> mam vytvoren kernel s:
>
> options IPFIREWALL
> options IPFIREWALL_FORWARD
> options IPDIVERT
>
>
> a do /etc/rc.conf jsem pridal:
>
> gateway_enable="YES"
> natd_enable="YES"
> natd_interface="xl0"
> firewall_enable="YES"
> firewall_type="open"
>
>
More information about the Users-l
mailing list