IPFW omezeni sluzeb z inetu

[Dan Lukes]

Cizek.Milan wrote:
> v tu chvili mi prestava fungovat pristup na FTP (z internetu; pasivni). Spojeni se navaze, ale selze na prikazu LIST (nenacte obsah adresare). Jeste podstatna informace, provoz z BSDSTROJ ven neni nijak blokovan. Jestli jsem to spravne pochopil, tak ftp sice otevira nahodne porty, ale pouze smerem ven, takze prichozi by meli stacit 20+21?

	Ne. Informaci o portu na kterem server posloucha sdeli klientovi a ten 
se pak na nej spoji. Je tedy ciste otazka FTP serveru zda pouziva jediny 
port a pokdu ano tak jaky nebo pouziva vetsi rozsah portu. Nektere 
servery to maji konfigurovatelne.

> da se nejak docilit toho, aby se pro nmap tvarili tyto porty jako neviditelne, resp. aby si nmap vubec nevsiml, ze tam je neco navic k dispozici? Neni mi jasne jak to pozna, ty porty otevrene nejsou, nic na nich nenasloucha...

	No prave. Ono na nich nic nenasloucha - vzdyt je hlasi jako "closed". 
Pozna to tak, ze pri pokusu se an ne spojit mu cilovy stroj oznami, ze 
to nejde - port je uzavreny. U TCP se na to pouziva TCP RST, u paketu 
jinych typu, ktere maji koncept "cisla portu" ale nemaji vlastni 
mechanismus (jako TCP) se pouziva ICMP PORT UNREACHABLE

	Takhle se chova "normalni" stroj - takze jestli ti jde o to, aby nmapem 
neslo poznat, ze tam mas nejaky firewall, tak potrebujes dosahnout prave 
tohoto "normalniho" chovani.

	Jedine u stroju, ktere nejsou dostupne zadnym IP paketem lze uvazovat o 
tom, ze firewall utajis "tichym zahazovanim". Ja bych to sice nedelal 
ani tak, ale to je na jinou diskusi.

	Jestli mas firewall nastaveny tak, ze pakety zahazuje bez odpovedi pro 
nektere porty - soucasne ale existuje alespon jeden port, ktery je 
regulerne dostupny - a cele to "tiche zahazovani" delas proto, aby se na 
firewall neprislo, tak to mas spatne rozmyslene. Takhle tu existenci 
firewallu naopak velmi jasne zverejnujes.

	Takze si rozmysli ceho vlastne chces presne dosahnout ...

						Dan