am Sat, dem 05.06.2004, um 14:54:56 +0200 mailte Carsten Friede folgendes:
Andreas Kretschmer wrote:
$IPT -A states -m state --state ESTABLISHED,RELATED -j RETURN
Warum RETURN? Tausch das mal gegen ACCEPT.
Das RETURN sagt, daß das Paket, weil es ja gültig ist wieder zurück in die INPUT-Chain geht und dort mit den vorhandenen Regeln verglichen wird.
Schon klar, aber es gehört ja ganz offensichtlich zu einer gewollten Verbindung. Schon deswegen sehe ich keine Notwendigkeit, es noch irgendwie weiter zu untersuchen. Oder?
Für ftp gibt es Helper-Module, sind die geladen? Für Conn-tracking brauchst Du auch ein Modul, damit es geht.
Okay. Was machen diese Module? Machen sie es möglich, das die high-port Verbindung nur dann gemacht wird, wenn schon der Kontrollkanal aufgebaut wurde?
Ja.
Denn dann und nur dann sollen die hohen Ports offen sein. Ansonsten soll Sense sein, und nur die Dienste auf den hohen Ports operieren, die explizit gestattet sind.
Das FTP-Modul schnüffelt den Kommandokanal mit und weiß so, welche Ports mit genutzt werden. Ich kann auf Arbeit an einem genatten Rechner sowohl passives als auch aktives FTP machen. Dazu sind auf dem Gateway 3 Module geladen, ich schrieb das aber IMHO auch schon mal in dieser Liste.
Andreas