ipfw & ftp

Josef Hrabec hrabec at naxo.net
Tue Mar 6 14:43:24 CET 2007


> Josef Hrabec napsal/wrote, On 03/06/07 08:51:
>> rad bych "umravnoval" provoz na lince a krome nekterych protokolu
>> (http,ftp,smtp,pop3) bych chtel vse ostatni hnat pres pipe. U vetsiny
>> problem neni, staci jenom definovat typ portu, ktery bude pipe
>> "obchazet".
>> Problem vsak nastava u ftp.
>>
>> Netusim presne jak zachytit, kdyz klient navaze spojeni na portu 21 a
>> pote
>> zacne stahovat data pres nejaky predem neznamy druhy port - jak tento
>> "zjisit" a vytvorit pro nej (nejspise pouze docasne) pravidlo, ktere
>> tento
>> provoz pusti mimo pipe.
>
> 	Nijak jednoduse nebo nijak stoprocentne spolehlive.
>
> 	Rozumna a casto prijatelna aproximace je - ze na jednom konci takoveho
> spojeni bude port 20 - takze lze za datova spojeni povazovat kazde, kde
> je na jednom z koncu tento port.
>
> 	Ano, nemusi to byt zcela spolehliva detekce. Ale soudim, ze by to melo
> stacit - uz s ohledem na to, ze stejny problem mas s HTTP, ktere ani
> nahodou nemusi probihat pouze na port 80 a ne vsechno co probiha na port
> 80 je HTTP - a to, rekl bych, taky neresis a omezujes se na ciste
> rozhodovani "podle cisla portu" - tak by totez melo stacit i u FTP ...
>
> 						Dan


No, ono treba u http se da rict, ze majoritni cast vsech serveru
komunikuje na portu 80, 443 pripadne 8080 a ten zbytek je velmi male
procento. Ale velka cast komunikace s ftp servery probiha na portu 21
(prikazy) a pak na nejakem jinem predem neznamem vysokem portu tecou
vlastni data.
(ten port 20 se pouziva, co jsem si tak vsimnul, spise zridka)

Takze rikas, ipfw nemuze jednoduse zjistit, ktery z tech vyssich portu
prislusi k danemu ftp spojeni a pro nej vygenerovat prislusne pravidlo.

Tak nevim, tak zkusim jestli nepujde neco ve stylu - kdyz jde na nejaky
server spojeni na port 21, tak pro tu danou IP obchazet pipe pro veskery
provoz.
V takovem pripade je docela mala pravdepodobnost, ze na stejnou IP potecou
jeste nejaka data prislusejici P2P siti a kdyz se tak nahodou stane,
nebude to jev prilis casty.

...coz jsem prve asi mel dodat, ze tim chci sledovat "umravneni" provozu
na P2P sitich, ne jej zcela zakazat, jenom mu vyhradit pouze cast
prenosove kapacity linky a vyjmenovanym protokolum umoznit vyuziti linky
plne na jeji maximum.

Pepa.















More information about the Users-l mailing list