From: Enver ALTIN (enver.altin@frontsite.com.tr)
Date: Tue 18 Nov 2003 - 12:36:28 EST
Merhaba,
On Tue, Nov 18, 2003 at 05:19:35PM +0200, Volkan YAZICI wrote:
> yaptiginiz denedim fakat hicbir degisiklik olmadi, gene ayni yerde
> takilip duruyor. ayrica bir de sunu denedim, ftp ile baglandim
> (takilmadan once ve sonra) ne zaman baska bir pencerede lsmod ciktisina
> baksam ip_conntrack_ftp modulu hep unused geciyor
yni soruyu, sanirim linux-network listesinde dun yada onceki gun
cevaplamistim.
iptables -A FORWARD -i ext_interface -p tcp --sport ftp-data -j ACCEPT
gibi bir kural sorununuzu cozecektir, ama bu bir guvenlik acigi teskil
ediyor. Saldirgan, gonderdigi paketlerin source adresini ftp-data olarak
degistirerek iceri alinmasini saglayabilir.
Belki ustteki kural icerisine RELATED state eklenebilir, bunu denemedim
(ip_nat_ftp modulu ile birlikte bu guvenlik acigina bir engel
olusturmasi acisindan) ve cok da guvenmiyorum.
En dogru yol tabii client uzerinde passive ftp kullanmak.
-HTH
-- __________ | | | | Enver ALTIN (a.k.a. skyblue) | | Software developer, IT consultant | FRONT | |==========| FrontSITE Bilgi Teknolojisi A.S. |_____SITE_| http://www.frontsite.com.tr/ linux-sohbet listesinden cikmak ve tum listeci islemleri icin http://liste.linux.org.tr/ adresini kullanabilirisniz. Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>