顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


主題 - powerouch

頁: [1]
2
背景:我的 server 上有兩張網卡(fxp[01]),使用非固定式 ADSL 上網(w/fixed ip)。因為頻寬(已離開學校了)及安全考量,ftp 不想讓 internet user 連(*),只想開放內部使用。

使用軟體:proftpd 1.2.10 on FreeBSD-6.0 current,kernel configured with ipfilter + ipnat

過程:
1.第一步我當然是想到直接在 proftpd 上動手腳(事實上也該如此),但是根據官方文件設了Bind之後又開了SocketBindTight,雖然它不會在所有界面上 listen,但連外介面(tun0)就是逃不過毒手,我猜是順序的關係。

2.我總不能這樣放棄,因為 ftp 對我來說頗重要。於是下一步腦筋動到了 ipf 上。原本照以前用 ipfw 的經驗來看,擋了 port 21 會使 internet 進來的連線 timeout(**);雖然對我來說結果是一樣的,但我還是比較希望能直接回個 RST 給對方。沒想到....

3.硬起頭皮再 man 一次 ipf
% man 5 ipf
.
.
.
       block     = "block" [ return-icmp[return-code] | "return-rst" ] .
.
.
.
block  indicates  that  the  packet should be flagged to be dropped. In
              response to blocking a packet, the filter may be  instructed  to
              send  a  reply  packet,  either an ICMP packet (return-icmp), an
              ICMP packet masquerading as being  from  the  original  packet's
              destination  (return-icmp-as-dest),  or  a  TCP "reset" (return-
              rst
)..
.
.
就是這個光!! 這不就是我要的嗎!?
於是我幫 ipf 加了以下的規則
block return-rst in proto tcp from any to x.x.x.x port = ftp-data
block return-rst in proto tcp from any to x.x.x.x port = ftp
索性連 data channel 一起擋了

結果:
代碼: [選擇]

% ftp x.x.x.x
ftp: connect: Connection refused
ftp> by
% telnet x.x.x.x 21
Trying x.x.x.x...
telnet: connect to address x.x.x.x: Connection refused
telnet: Unable to connect to remote host
% nmap -p 21 x.x.x.x

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2004-11-27 17:05 CST
Interesting ports on x.x.x.x (x.x.x.x):
PORT   STATE  SERVICE
21/tcp closed ftp

Nmap run completed -- 1 IP address (1 host up) scanned in 0.160 seconds
% nmap -p 21 192.168.0.254

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2004-11-27 17:07 CST
Interesting ports on 192.168.0.254:
PORT   STATE SERVICE
21/tcp open  ftp

Nmap run completed -- 1 IP address (1 host up) scanned in 0.164 seconds
% ftp 192.168.0.254
Connected to 192.168.0.254.
220 ProFTPD 1.2.10 Server (underground FTP site) [192.168.0.254]
Name (192.168.0.254:user):

看來就是這樣了
連外面的 ip 會很乾脆地被拒絕
而透過內部就可以順利連上
多疑的我還用 nmap 分別掃了外部和內部的 port 21
結果就是-各位觀眾!
這就是我要的結果了

--
註*: 我有放一個公開(pub)站台;之前曾經有人在我的 upload 傳了一堆莫名奇妙的東西,分別測試能不能寫入 1k, 100k, 1M...等大小的檔案,甚至還有一個 space.asp,內容就是 expose 我的(部份)系統資訊,有開放 upload 的人也許也曾看到過。雖然那個檔案對我沒影響,但老是這樣也很煩。
註**: 在那個 code_red 和 nimda 盛行的時代,曾幫 mail server 用 ipfw 加了一堆擋 smtp 連線的規則;但是因為沒有任何回應,有的連線會 hang 在那邊好一段時間,再加上流量又大,實在苦惱了好一陣子。也因此我一開始會不想用 ipf 擋,是覺得不得不然的時後才想要用。以前沒有認真玩,所以這實在是個意外的發現。

3
雜七雜八 / [閒聊]How do you pronounce "SuSE"?
« 於: 2004-11-24 16:41 »
靈感來自 postgresql 官方網站上的一個投票
"How do you pronounce 'PostgreSQL'?"
suse 這東西一直不知道怎麼念
想問問大家都是這麼發音的

我都是念 susi~~跟壽司一樣
比較好記 :oops:

4
雜七雜八 / [接龍]酷!學園是個好地方
« 於: 2004-11-23 14:03 »
它為許多新手提供了解答
它幫不少老手重新檢視自己所學
更重要的是
它可以讓我上班時間都掛在上面

沒錯
白天我就是掛在上面
看到問題就想辦法答
不會答就...再說再連絡
以前學生時代不會想利用這個地方
因為我習慣自己解答
當然還是免不了會有找不到的時候
也曾被 kenduest 老大訓過(double post 就算了,問的什麼鳥問題....)

總之....















這是灌水啦!!

5
database 討論版 / phpPgAdmin 3.5 Released
« 於: 2004-11-17 14:25 »
http://www.postgresql.org/news/240.html

一直覺得 ppa 和 pgAdminIII 是各有所長
可惜是不同的 team
如能整合功能會變得更強大....

頁: [1]