Stefan Moch schrieb:
Hi.
- Dimitri Puzin tristan-777@t-online.de [2004-06-06 11:39 +0200]:
Also, der SOCKS-Server ist ein lokales Prozess, weshalb nur die INPUT und OUTPUT Ketten relevant sind. Ich verbiete alles in der INPUT Kette, was vom externen Interface kommt. Nur ESTABLISHED, RELATED Pakete sind erlaubt, da keiner zu meinem SOCKS Server eine Verbindung aufbauen soll.
Das könnte Probleme geben, falls Du direkte ICQ-Verbindungen haben willst, bei denen die Nachrichten nicht über die ICQ-Server laufen.
Die Nachrichten werden als UDP-Pakete verschickt und der Rechner auf dem der SOCKS-Proxy läuft sollte sie in dem Fall nicht nur verschicken sondern auch annehmen können.
Stefan
Hi Stefan,
das Problem ist bei mir nicht aufgetreten, da der SOCKS 5 Server auch mit UDP umgehen kann, im Gegensatz zu SOCKS 4. Problematisch ist nur der Fall, wo der Initiator sich im Internet befindet und an einen Host hinter dem Proxy/NAT-Firewall etwas senden will. Hier kommt man ohne Portforwarding/DNAT nicht aus, was die Sache weder einfacher noch sicherer macht. AFAIK ist das aber ein generelles Problem, wenn man NAT benutzt. Man koennte jetzt meinen, wenn man eingehende Verbindungen zum SOCKS Proxy erlaubt, sich der Sachverhalt aendern wird, doch es ist nicht der Fall. Im Gegenteil, stellt dieses Vorgehen ein reales Sicherheitsrisiko dar.
-Dimitri