форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проясните насчет состояния RELATED в ipfw??"
Сообщение от koliama on 12-Янв-04, 16:34  (MSK)
В iptables можно указать для соединения следующее состояние - RELATED, которое указывавает на его связь с инициировавшим его соединением с состоянием ESTABLISHED. Данное состояние позволяет не прописывать отдельные правила для соединений по протоколу ftp на 20 порту и обходиться минимальным набором правил 1 разрешил порт 20 и 21 на вход 2 разрешил порт 20 и 21 на выход В ipfw подобное состояние задать нельзя.. Приходится прописывать три правила 1 any to me 20,21 2 me 20,21 to any 3 me to any 20,21 С помощью какого правила (или набора правил или доп. модуля)можно указать данное состояние в ipfw? Заранее благодарен за информацию.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Проясните насчет состояния RELATED в ipfw??"
Сообщение от .zZz. on 12-Янв-04, 17:32  (MSK)
>В iptables можно указать для соединения следующее состояние - RELATED, которое указывавает >на его связь с инициировавшим его соединением с состоянием ESTABLISHED. Данное >состояние позволяет не прописывать отдельные правила для соединений по протоколу ftp >на 20 порту и обходиться минимальным набором правил >1 разрешил порт 20 и 21 на вход >2 разрешил порт 20 и 21 на выход >В ipfw подобное состояние задать нельзя.. Приходится прописывать три правила >1 any to me 20,21 >2 me 20,21 to any >3 me to any 20,21 Можно делать вот такие вещи: (есть в примере rc.firewall) ipfw add pass tcp from any to $ip 21 setup ipfw add pass tcp from any to any established ipfw add pass udp from $ip to any 53 keep-state может это поможет?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Проясните насчет состояния RELATED в ipfw??"
	Сообщение от koliama on 12-Янв-04, 18:37  (MSK)
	>>В iptables можно указать для соединения следующее состояние - RELATED, которое указывавает >>на его связь с инициировавшим его соединением с состоянием ESTABLISHED. Данное >>состояние позволяет не прописывать отдельные правила для соединений по протоколу ftp >>на 20 порту и обходиться минимальным набором правил >>1 разрешил порт 20 и 21 на вход >>2 разрешил порт 20 и 21 на выход >>В ipfw подобное состояние задать нельзя.. Приходится прописывать три правила >>1 any to me 20,21 >>2 me 20,21 to any >>3 me to any 20,21 > >Можно делать вот такие вещи: (есть в примере rc.firewall) > >ipfw add pass tcp from any to $ip 21 setup >ipfw add pass tcp from any to any established >ipfw add pass udp from $ip to any 53 keep-state > >может это поможет? гм... вообще то keep-state я рассматривал... но он новое соединение по моему не инициирует.. или я ошибаюсь..?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Проясните насчет состояния RELATED в ipfw??"
	Сообщение от .zZz. on 12-Янв-04, 20:11  (MSK)
	В случае с тем же фтп keep-state не при чём. Делаем так: ipfw add 10 pass tcp from any to me 21 setup (что пропускает только SYN/ACK от клиентов) ipfw add 20 pass tcp from any to me 22 setup ... ipfw add 100 pass tcp from any to any established (что разрешает установленное соединение т.е. всё то что происходит после попадания в setup по разрешённым портам) ipfw add 65534 deny from any to any (всех в баню)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Проясните насчет состояния RELATED в ipfw??"
	Сообщение от koliama on 14-Янв-04, 14:35  (MSK)
	Сорри не посмотрел сразу на setup. Счас пробую, вроде проходит.. Большое спасиб
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.