[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Активный FTP

Hello,

10.03.06, Artem Chuprina<ran@ran.pp.ru> написал(а):
> Dmitry Baryshkov -> debian-russian@lists.debian.org  @ Fri, 10 Mar 2006 16:31:35 +0300:
>
>  >>  DB> В пределах таблицы да. В Вашем случае, все начинается в цепочке INPUT.
>  >>  DB> Проверяется, что пакет на 20 или 21 порт и, если это не так,
>  >>  DB> отбрасывается (Ведь Вы поставили -P INPUT DROP?).
>  >>
>  >> Ты чего-то не то прочел...
>
>  DB> Согласен, это я не прочитал, а додумал. Ибо если стоит не DROP, то
>  DB> зачем городить весь огород?
>
> DROP стоит в конце цепочки INPUT, а не каждой вложенной.  Покажи мне там
> DROP до RELATED,ESTABLISHED.  Можно неявный.

Неявный: ACCEPT я вижу только в таблице ALLOWED. А в нее попадают
только TCP-пакеты на порты 20, 21. Т.о. пакеты, например, от того же
самого 'passive connection' в нее не попадут, а вернутся из
TCP_PACKETS в INPUT (я уж не говорю, что DROP в ALLOWED противоречит
ее названию). Если в INPUT нет в конце DROP'а (в виде правила или в
виде policy), машина будет открыта для любых TCP соединений, кроме
FIN,XMAS-скана по портам 20, 21. И зачем тогда настраивать iptables?

--
With best wishes
Dmitry Baryshkov
Reply to: