[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: UML, conntrack FTP & ftp SSL



On Fri, Feb 13, 2004 at 08:19:06PM +0100, Alex wrote:
> Bonsoir à tous
> 
> Je suis face à un problème assez hardu (en tous cas pour moi)!
> Voilà:
> 
> J'ai une machine dont la fonction première est de faire du routage 
> (public... bref). Celle-ci héberge un UML qui s'occupe de "firewaller" 
> ma DMZ. Cet UML fait donc du filtrage de paquet est à donc du 
> conntracking IP et FTP d'implémenter.
> Jusqu'ici tous va bien le conntrack fonctionne à merveille sur des proto 
> classique et sur le FTP (en port 21).
> Mon Souci se pose lorsque je veux faire du FTP/SSL ; en effet, ce 
> service tourne sur le port 990 (RFC n° blablablabla) et ne sera donc pas 
> conntracké!
> Je sais que l'on peut, lorsque FTP_conntrack est loadé en tant que 
> modules, spécifier dans les options du modules plusieurs ports à 
> conntracker façon FTP, mais pour rendre les choses plus compliquées mon 
> kernel UML et complètement "monolythique" (et donc ne charge aucun module).
> Ma question est donc quelqu'un sait-il comment (cad avec quelle 
> synthaxe) et dans quel fichier je peut faire un append kernel pour 
> monter le module comme je le veux.

Bonsoir,

C'est bien un argument à passer au module (ports) ... mais j'ai peur que
ça ne résolve pas le problème:
Pour savoir quel port autoriser le module analyse la connection FTP et
recherche des commandes précises (PORT ou PASV)
Le problème avec le SSL ... c'est que c'est crypté ! (oui bon c'est
vendredi) donc le module ne peut pas savoir quand une connection de
données est ouverte, il faudrait pour cela décrypter le SSL, ce qui est
bien au dessus du noyau.

Donc pour le moment je n'ai pas de solution et si quelqu'un en trouve
une, je suis intéressé !

/P
-- 
chifflier@cpe.fr
BOFH excuse #245:

The Borg tried to assimilate your system. Resistance is futile.



Reply to: