On Tue, Jul 04, 2000 at 09:16:28PM +0200, J Wunsch wrote:
> Deine Mail ist, was ich als `close to unreadable' bezeichnen würde,
Und ich dachte schon, mein mutt hatt Probleme mit html-parsing ;-)
>
> Nein. Die Sekundärverbindungen verteilen sich kreuz und quer über den
> verfügbaren Portbereich, naja, wenn nur FreeBSD-Clients sind, in
> gewissen Grenzen. Immer noch ärgerlich genug.
>
Ja. Ja. Ja.
Prinzipiell braucht man 3 Sachen:
1) Konrtollkanal:
-) client >1024 zu Server 21 tcp alles (setup, established)
-) Server 21 zu client >1024 nur established (hier kann man
zumindest viel blocken)
2) nur für passive ftp:
-) client >1024 zu Server >1024 alles (setup, established)
(ist übriges default bei BSD (ftp,fetch) sowie bei wget und
auch beim squid)
-) Server >1024 zu client >1024 nur established
Wenn man nur o.g. Programme und gleich arbeitende benutzt, reicht das.
3) nur für active ftp:
Hier baut der Server mit seinem source-port 20 ein tcp socket
auf, also
-) client >1024 zu Server 20 nur established
-) Server 20 zu client >1024 ALLES (setup, established)
(Was ich der Grund ist, warum gute tcp-Portscans von source-
port 20 ausgehen). GEFAHR!!!
Achja, seit ich Linux kenne, macht der command-line ftp client
dies hier :-(
Es wird wohl doch sinnvoll sein, einen squid auf der firewall laufen
zu haben, besser noch zwischen 2 firewalls.
> > Funkt es, wenn ich lokal einen irc demon (server) aufbaue, welcher
> > nur
> > bestimmte Gruppen relayed und zwar nur nach innen hin.
>
> Ich habe von IRC oder ICQ nicht viel Ahnung. IRC braucht
> Sekundärverbindungen wohl nur für direkten Client-Client-Kontakt, bei
> ICQ weiß ich es nicht. Ob Du einen lokalen Server betreibst, dürfte
> eher unerheblich sein.
>
Bitte korrigiert mich, aber __das__ ist eine klassische Anwendung eines
socks-servers.
-- Georg To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 05 Jul 2000 - 12:43:49 CEST