Re: Squid e connessioni ftp

To: debian-italian@lists.debian.org
Subject: Re: Squid e connessioni ftp
From: NN_il_Confusionario <pinkof.pallus@tiscalinet.it>
Date: Tue, 26 Jun 2001 19:22:30 +0200
Message-id: <[🔎] 20010626192230.G4939@quadrifoglio.formulasistemi.it>
Reply-to: pinkof.pallus@tiscalinet.it
In-reply-to: <[🔎] 3B38BB0B.2080902@iname.com>; from gpcarrubba@iname.com on Tue, Jun 26, 2001 at 06:40:43PM +0200
References: <[🔎] 3B24DF5D.6080501@iname.com> <[🔎] 20010611174845.B4085@quadrifoglio.formulasistemi.it> <[🔎] 3B24FE6C.9060406@iname.com> <[🔎] 20010612073138.A6098@quadrifoglio.formulasistemi.it> <[🔎] 3B25E5F5.1080801@iname.com> <[🔎] 20010612193205.C4629@quadrifoglio.formulasistemi.it> <[🔎] 3B2F1AB8.8060907@iname.com> <[🔎] 20010619125658.B17860@quadrifoglio.formulasistemi.it> <[🔎] 3B38BB0B.2080902@iname.com>

On Tue, Jun 26, 2001 at 06:40:43PM +0200, Gian Piero Carrubba wrote:
> NN_il_Confusionario wrote:
> > dei kernels 2.2.x mi pare che gia` usa solo certe porte; cfr. le regole 
> > usate nell'esempio "serio" dell'ipchains howto (mi pare, se no e` il 
> > masquerading o il firewall & proxy) e le schede di confronto tra iptables
> > e ipchains (dove si dice che una certa limitazione sulle porte e` stata
> > tolta passando a iptables sui 2.4).
> 
> il discorso e' che vorrei che fosse possibile che il proxy squid (che si 
> trova all'interno di una rete mascherata), una volta ricevute dai client 
> interni richieste ftp, si connetta al server (esterno) utilizzando un 
> determinato intervallo di porte... insomma, qlcsa per cercare di 
> limitare 1024:<->1024: che il pc mascherante si vede costretto a fare... 
> certo non e' che sia grave ma, diamine, un po' d'ordine... :)

se vuoi che squid usi solo certe porte, bisognerebbe vedere
i doc di squid :-) Ovviamente queste porte (se la macchina squid
e` INTERNA) non c'entrano con le porte che la macchina firewall
che maschera la LAN fa vedere al mondo.

Se voi che l'esterno parli solo a certe porte del tuo fire
(che NON ha squid, squid e` su una macchina interna)
allora ripeto (visto che sopra l'ho detto molto bau-bau)
che i kernels 2.2.x quando mascerano con ipchains usano solo
certe porte alte della macchina per far passare le connessioni
mascherate. Quali? Non ricordo, ma ricordo di averle lette
nei doc di cui sopra. Vbbe, guardo ...

Dal NAT-HOWTO (netfilter.samba.org/unreliable-guides i doc per iptables)

  o  You can now bind to ports 61000-65095 even if you're masquerading.
     The masquerading code used to assume anything in this range was
     fair game, so programs couldn't use it.

Dall' ipchains HOWTO (quindi kernels 2.2 o 2.4 con limitazioni)

     * External interface also receives replies to masqueraded packets
       (masquerading uses source ports 61000 to 65095) and ICMP errors
       for them and PING replies.
       
ipchains -A bad-if -i ! ppp0 -j DENY -l
ipchains -A bad-if -p TCP --dport 61000:65095 -j ACCEPT
ipchains -A bad-if -p UDP --dport 61000:65095 -j ACCEPT

Reply to:

Follow-Ups:
- Re: Squid e connessioni ftp
  - From: Gian Piero Carrubba <gpcarrubba@iname.com>

References:
- Squid e connessioni ftp
  - From: Gian Piero Carrubba <gpcarrubba@iname.com>
- Re: Squid e connessioni ftp
  - From: NN_il_Confusionario <pinkof.pallus@tiscalinet.it>
- Re: Squid e connessioni ftp
  - From: Gian Piero Carrubba <gpcarrubba@iname.com>
- Re: Squid e connessioni ftp
  - From: NN_il_Confusionario <pinkof.pallus@tiscalinet.it>
- Re: Squid e connessioni ftp
  - From: Gian Piero Carrubba <gpcarrubba@iname.com>
- Re: Squid e connessioni ftp
  - From: NN_il_Confusionario <pinkof.pallus@tiscalinet.it>
- Re: Squid e connessioni ftp
  - From: Gian Piero Carrubba <gpcarrubba@iname.com>
- Re: Squid e connessioni ftp
  - From: NN_il_Confusionario <pinkof.pallus@tiscalinet.it>
- Re: Squid e connessioni ftp
  - From: Gian Piero Carrubba <gpcarrubba@iname.com>

Prev by Date: Re: Squid e connessioni ftp
Next by Date: Tin, il newsreader, configurazione.
Previous by thread: Re: Squid e connessioni ftp
Next by thread: Re: Squid e connessioni ftp
Index(es):
- Date
- Thread