5 Jun
2004
5 Jun
'04
2:52 p.m.
Andreas Kretschmer wrote:
$IPT -A states -m state --state ESTABLISHED,RELATED -j RETURN
Warum RETURN? Tausch das mal gegen ACCEPT.
Das RETURN sagt, daß das Paket, weil es ja gültig ist wieder zurück in die INPUT-Chain geht und dort mit den vorhandenen Regeln verglichen wird.
Für ftp gibt es Helper-Module, sind die geladen? Für Conn-tracking brauchst Du auch ein Modul, damit es geht.
Okay. Was machen diese Module? Machen sie es möglich, das die high-port Verbindung nur dann gemacht wird, wenn schon der Kontrollkanal aufgebaut wurde? Denn dann und nur dann sollen die hohen Ports offen sein. Ansonsten soll Sense sein, und nur die Dienste auf den hohen Ports operieren, die explizit gestattet sind.
Carsten
--
======================================================
Dresden University of Technology
Department of Computer Science
Dresden, Germany
======================================================