ipfw & ftp, icq atp.

adam adam at voyager.op.i.cz
Mon Jul 16 13:15:14 CEST 2001


On Sun, Jul 15, 2001 at 04:16:01PM +0200, Josef Hrabec wrote:
> Nechal jsem jenom tri pravidla:
> 
> 00100 divert 8668 ip from any to any via xl0
> 00200 allow ip from any to any 
> 65535 deny ip from any to any
> 
> (interni sit s nat) 
> 
> protokol ftp funguje, je mozny download i upload ven z interni site
> kdyz jsem toto mel v linuxu tak se pro ftp musel nahrat zvlastni modul,
> ve freeBSD to funguje "hned"
> 
> ale ICQ nebo treba MS NetMeeting funguje jenom z "poloviny",
> jde to z interni site ven ale uz ne zpet 
> (napr. poslat soubor pomoci icq lze ze site ven ale uz ne z venci dovnitr)
> 
> Nevite prosim nekdo, co je treba do ipfw nebo snad jadra jeste pridat,
> aby se  vsechny pakety dostaly jak ven tak i dovnitr?

Aby se ti dostala spojeni  take dovnitr lze udelat nekolika zpusoby:

1. Bud pouzijes ipf a ipnat a udelas staticky preklad 1:1

2. Nainstalujes si socks proxy. ICQ umi se socks spolupracovat, takze ti pojede icq uplne v pohode. Tato varianta ti pojede jak s ipfw tak s ipf.


Samozreme musis u obou variant nastavit spravne pravidla v ipfw nebo ipf.
Bezpecnejsi je varianta 2. i kdyz tak bezpecne jako zadna to samozrejme neni ;-)))


Kazdopadne  z bezpecnostniho hlediska je lepsi kdyz ti ICQ pojede pouze na pul. Posilat zpravy lze - coz je u ICQ nejdulezitejsi. Kdyz povolis vse tak ti muze nekdo haknout pres icq systemy ve vnitr coz neni moc dobre.


							Adam

> 
> 
> (neuvazuji ted nad bezpecnosti interni site)
> 
> 
> 
> mam vytvoren kernel s:
> 
> options IPFIREWALL
> options IPFIREWALL_FORWARD
> options IPDIVERT
> 
> 
> a do /etc/rc.conf jsem pridal:
> 
> gateway_enable="YES"
> natd_enable="YES"
> natd_interface="xl0"  
> firewall_enable="YES"
> firewall_type="open"  
> 
> 



More information about the Users-l mailing list