© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Wed, Jul 05, 2000 at 01:50:46PM +0200, Udo Erdelhoff wrote:
> On Wed, Jul 05, 2000 at 12:43:43PM +0200, Georg Graf wrote:
> > 3) nur für active ftp:
>
> Wobei man sich überlegen sollte, ob man das nicht einfach unter den Tisch
> kehrt. Im host-requirements-RFC steht AFAIK inzwischen, daß ein FTP-Server
> PASV unterstützen muß.
>
IMHO geht es vielmehr darum, daß man dumme clients (commandline ftp von
linux und winXX) unterstützen will.
> > (Was ich der Grund ist, warum gute tcp-Portscans von source-
> > port 20 ausgehen). GEFAHR!!!
>
> Ja, die Stolperfalle ist gemein. Könnte man das Problem nicht mit den
> dynamischen Rulesets von ipfw lindern? Lies, wenn von uns ein setup
> zu host.domain:21 rausgeht, erlauben wir ein setup von host:domain:20
> zu uns? Das sollte einiges abhalten, obwohl man dann immer noch Pakete
> durch die Firewall schieben kann - man behauptet halt, man wäre irgendein
> großer ftp-Server und hofft auf die Statistik.
>
trotzem gut. geht das mit der keep-state und check-state Syntax im
ipfw? wie?
> > Es wird wohl doch sinnvoll sein, einen squid auf der firewall laufen
> > zu haben, besser noch zwischen 2 firewalls.
>
> Weia, wieso gleich mit dem Atombombenteppich auf den Einzeller? Tut es
> ein "normaler" ftp-proxy nicht auch? Der hat auch den Vorteil, daß die
> Dauersauger ihre Download-Tools (Getright, Gozilla) nicht nutzen können.
> Spart auf Dauer Bandbreite...
>
Ich halte die modernen Hacker und Ihre tools nicht für Einzeller. sorry.
Wenn Dein squid-host gehackt ist, *dann* bist Du froh, daß von dem aus das
wirkliche Lan nicht erreichbar ist.
Ja, bei uns ist auch der squid die einzige Firewall, aber wünschen tät ich
mir schon die Zeit, sowas schön aufzusetzen ;-)
-- Georg To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 05 Jul 2000 - 17:17:18 CEST