IPFW omezeni sluzeb z inetu
Dan Lukes
dan at obluda.cz
Tue Feb 26 12:41:47 CET 2008
Cizek.Milan wrote:
> v tu chvili mi prestava fungovat pristup na FTP (z internetu; pasivni). Spojeni se navaze, ale selze na prikazu LIST (nenacte obsah adresare). Jeste podstatna informace, provoz z BSDSTROJ ven neni nijak blokovan. Jestli jsem to spravne pochopil, tak ftp sice otevira nahodne porty, ale pouze smerem ven, takze prichozi by meli stacit 20+21?
Ne. Informaci o portu na kterem server posloucha sdeli klientovi a ten
se pak na nej spoji. Je tedy ciste otazka FTP serveru zda pouziva jediny
port a pokdu ano tak jaky nebo pouziva vetsi rozsah portu. Nektere
servery to maji konfigurovatelne.
> da se nejak docilit toho, aby se pro nmap tvarili tyto porty jako neviditelne, resp. aby si nmap vubec nevsiml, ze tam je neco navic k dispozici? Neni mi jasne jak to pozna, ty porty otevrene nejsou, nic na nich nenasloucha...
No prave. Ono na nich nic nenasloucha - vzdyt je hlasi jako "closed".
Pozna to tak, ze pri pokusu se an ne spojit mu cilovy stroj oznami, ze
to nejde - port je uzavreny. U TCP se na to pouziva TCP RST, u paketu
jinych typu, ktere maji koncept "cisla portu" ale nemaji vlastni
mechanismus (jako TCP) se pouziva ICMP PORT UNREACHABLE
Takhle se chova "normalni" stroj - takze jestli ti jde o to, aby nmapem
neslo poznat, ze tam mas nejaky firewall, tak potrebujes dosahnout prave
tohoto "normalniho" chovani.
Jedine u stroju, ktere nejsou dostupne zadnym IP paketem lze uvazovat o
tom, ze firewall utajis "tichym zahazovanim". Ja bych to sice nedelal
ani tak, ale to je na jinou diskusi.
Jestli mas firewall nastaveny tak, ze pakety zahazuje bez odpovedi pro
nektere porty - soucasne ale existuje alespon jeden port, ktery je
regulerne dostupny - a cele to "tiche zahazovani" delas proto, aby se na
firewall neprislo, tak to mas spatne rozmyslene. Takhle tu existenci
firewallu naopak velmi jasne zverejnujes.
Takze si rozmysli ceho vlastne chces presne dosahnout ...
Dan
More information about the Users-l
mailing list