am 15.01.2004, um 1:52:47 +0100 mailte Carsten Friede folgendes:
Ich kenne das ICQ-Protokoll nicht, aber kann es sein das es wie FTP oder IRC versucht einen zweiten Kanal zu öffnen? Für dieses Problem gibt es direkt ein FTP bzw. IRC Firewall-Modul, evtl. kannst du die verwenden bzw. abändern.
Klingt interessant. Wie genau stellst Du dir das vor?
Ich kenne IRC und so auch nicht, aber:
Damit iptables mit diesen Protokollen korrekt arbeiten kann, sind Helper-Module nötig. Der Grund ist, daß z.B. FTP 2 Kanäle öffnet: einen Daten- bzw. Kommunikationskanal und einen Datenkanal. Dabei wird bei FTP z.B. noch zwischen passiv und aktiv unterschieden, je nachdem, wer die Datenverbindung aufbaut.
Ein 'dummer' Portfilter würde in einem solchen Szenario eher hinderlich sein. Ein 'kluger' Portfilter untersucht nun nicht nur Quell- und Zieladresse, Port und IP-Protokoll, sondern auch noch den _Inhalt_ der Pakete. Bei FTP zum Bleistift muß er die Kontrollverbindung belauschen, um den dort ausgehandelten Port für die Datenverbindung rauszubekommen. Diese Verbindung gilt das als 'related' und kann gesondert behandet werden (-j ACCEPT).
Es gibt da etliche Helper-Module, schau mal unter http://netfilter.org
Andreas