|
|
 | OpenBSD 2.9 / ipf / ftp
Fra : Rasmus Bøg Hansen |
Dato : 01-07-02 19:33 |
|
Hej
Jeg sidder og leger lidt med firewall-regler på en OpenBSD 2.9.
Det er gået ganske godt indtil nu. Når jeg tillader udgående ftp, virker
data-forbindelserne ikke - hverken passiv eller aktiv. Jeg har:
pass out quick on xl0 proto tcp from any to any port = 21 flags S/SA keep
state
i /etc/ipf.rules, men får:
ncftp ...BSD/patches/2.9/common > ls
connect failed: No route to host.
Falling back to PORT instead of PASV mode.
Could not read reply from control connection -- timed out.
List failed.
Datapakkerne bliver tydeligvis afvist:
ul 1 20:22:17 smaug ipmon[7267]: 20:22:17.342248 xl0 @0:12 b
172.16.0.122,46995 -> 129.128.5.191,42014 PR tcp len 20 64 -S OUT
Jul 1 20:22:18 smaug ipmon[7267]: 20:22:17.816508 xl0 @0:18 b
129.128.5.191,20 -> 172.16.0.122,37963 PR tcp len 20 44 -S IN
Jul 1 20:22:21 smaug ipmon[7267]: 20:22:21.356657 xl0 @0:18 b
129.128.5.191,20 -> 172.16.0.122,37963 PR tcp len 20 44 -S IN
Jul 1 20:22:27 smaug ipmon[7267]: 20:22:27.689193 xl0 @0:18 b
129.128.5.191,20 -> 172.16.0.122,37963 PR tcp len 20 44 -S IN
Jul 1 20:22:40 smaug ipmon[7267]: 20:22:40.518208 xl0 @0:18 b
129.128.5.191,20 -> 172.16.0.122,37963 PR tcp len 20 44 -S IN
Jul 1 20:23:06 smaug ipmon[7267]: 20:23:06.096178 xl0 @0:18 b
129.128.5.191,20 -> 172.16.0.122,37963 PR tcp len 20 44 -S IN
Jul 1 20:23:57 smaug ipmon[7267]: 20:23:57.344402 xl0 @0:18 b
129.128.5.191,20 -> 172.16.0.122,37963 PR tcp len 20 44 -S IN
Jul 1 20:24:58 smaug ipmon[7267]: 20:24:57.369149 xl0 @0:18 b
129.128.5.191,20 -> 172.16.0.122,37963 PR tcp len 20 44 -S IN
Er jeg virkelig nødt til at åbne for "fjern port 20 -> lokal høj port" og
"lokal høj port -> fjern høj port" eller kan det bringes til at fungere
automagisk (lidt som "-m state --state RELATED" i iptables til Linux).
PFT
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Linux hackers are funny people: They count the time in patchlevels.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
 Alex Holst (01-07-2002)
| Kommentar
Fra : Alex Holst |
Dato : 01-07-02 22:54 |
|
Rasmus Bøg Hansen <moffe47@hotmail.com> wrote:
> Jeg sidder og leger lidt med firewall-regler på en OpenBSD 2.9.
Hvori bestaar ideen i at bruge en gammel version af et OS som udviklerne
konstant gaar igennem for fejl og generelt forbedrer? F.eks. ville 3.1
med pf og ftp-proxy vaere en simpel loesning paa det problem.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Rasmus Bøg Hansen (02-07-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 02-07-02 10:46 |
|
Alex Holst wrote:
> Rasmus Bøg Hansen <moffe47@hotmail.com> wrote:
>> Jeg sidder og leger lidt med firewall-regler på en OpenBSD 2.9.
>
> Hvori bestaar ideen i at bruge en gammel version af et OS som udviklerne
> konstant gaar igennem for fejl og generelt forbedrer? F.eks. ville 3.1
> med pf og ftp-proxy vaere en simpel loesning paa det problem.
Fordi jeg ikke er interesseret i at opgradere den, medmindre det er
nødvendigt (den er installeret i juni 2001). Jeg har endnu ikke set noget
nyt i de nye udgaver af OpenBSD og ikke læst nogen steder, at den ikke er
understøttet længere (der kommer stadig patches til den).
Iøvrigt fandt jeg ud af, at man blot skal sætte:
map xl0 0/0 -> 0/32 proxy port 21 ftp/tcp
i /etc/ipnat.rules og slå ipnat til.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Expect the unexpected.
- HitchHikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
 Bo Simonsen (02-07-2002)
| Kommentar
Fra : Bo Simonsen |
Dato : 02-07-02 15:21 |
|
On Tue, 02 Jul 2002 11:46:16 +0200, Rasmus Bøg Hansen wrote:
> Fordi jeg ikke er interesseret i at opgradere den, medmindre det er
> nødvendigt (den er installeret i juni 2001).
Måske den her guide ville hjælpe dig lidt?
http://a.area51.dk/openbsd/upgrade
--
Med venlig hilsen
Bo Simonsen
Join the GNU generation!
| |
Rasmus Bøg Hansen (02-07-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 02-07-02 17:39 |
|
Bo Simonsen wrote:
> On Tue, 02 Jul 2002 11:46:16 +0200, Rasmus Bøg Hansen wrote:
>
>> Fordi jeg ikke er interesseret i at opgradere den, medmindre det er
>> nødvendigt (den er installeret i juni 2001).
>
> Måske den her guide ville hjælpe dig lidt?
>
> http://a.area51.dk/openbsd/upgrade
Tak for tippet, men du mangler stadig at forklare mig, hvorfor jeg skal
opgradere. Hvad er der i 3.1, som jeg ikke er klar over, jeg savner.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
It may be the only innovation in Windows (CTRL-ALT-DELETE was
not invented by MS).
- Hans Reiser
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Alex Holst (02-07-2002)
| Kommentar
Fra : Alex Holst |
Dato : 02-07-02 19:32 |
|
Rasmus Bøg Hansen <moffe47@hotmail.com> wrote:
> Tak for tippet, men du mangler stadig at forklare mig, hvorfor jeg skal
> opgradere. Hvad er der i 3.1, som jeg ikke er klar over, jeg savner.
Det kommer an paa hvad du bruger din maskine til. Se selv:
http://www.openbsd.org/plus30.html
http://www.openbsd.org/plus31.html
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Rasmus Bøg Hansen (02-07-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 02-07-02 19:55 |
|
Alex Holst wrote:
> Rasmus Bøg Hansen <moffe47@hotmail.com> wrote:
>> Tak for tippet, men du mangler stadig at forklare mig, hvorfor jeg skal
>> opgradere. Hvad er der i 3.1, som jeg ikke er klar over, jeg savner.
>
> Det kommer an paa hvad du bruger din maskine til. Se selv:
http-server med php4 og MySQL, smtp-server (med qmail, så det er ikke en del
af OpenBSD). Jeg savner ingen funktionalitet til disse formål. Jeg er ikke
voldsomt interesseret i ydelsesforbedringer, da maskinen kører med load <
0.05 i gennemsnit.
> http://www.openbsd.org/plus30.html
> http://www.openbsd.org/plus31.html
Irk, det orker jeg altså ikke at læse igennem. Jeg kender ikke nok til
kerne, libraries osv. til at jeg får nok ud af det.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Programming is a race between programmers, who try and make more and
more idiot-proof software, and universe, which produces more and more
remarkable idiots.
Until now, universe leads the race.
- R. Cooka
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Alex Holst (03-07-2002)
| Kommentar
Fra : Alex Holst |
Dato : 03-07-02 20:49 |
|
Rasmus Bøg Hansen <moffe47@hotmail.com> wrote:
> Jeg har endnu ikke set noget nyt i de nye udgaver af OpenBSD og ikke
> læst nogen steder, at den ikke er understøttet længere (der kommer
> stadig patches til den).
CVSROOT: /cvs
Module name: www
Changes by: miod@cvs.openbsd.org 2002/07/03 07:59:04
Modified files:
. : security.html
Log message:
By popular demand (read: mailbox flood), write in stone here that 2.9 and
earlier releases are not maintained anymore, hence there will be no more
patches for them, even if they are vulnerable to new advisories.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Rasmus Bøg Hansen (03-07-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 03-07-02 21:59 |
|
Alex Holst wrote:
> Rasmus Bøg Hansen <moffe47@hotmail.com> wrote:
>> Jeg har endnu ikke set noget nyt i de nye udgaver af OpenBSD og ikke
>> læst nogen steder, at den ikke er understøttet længere (der kommer
>> stadig patches til den).
> By popular demand (read: mailbox flood), write in stone here that 2.9 and
> earlier releases are not maintained anymore, hence there will be no more
> patches for them, even if they are vulnerable to new advisories.
Det har jeg så nu - så er jeg overbevist 
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Mommy, mommy! The garbage man is here!
Well, tell him we don't want any!
-- Groucho Marx
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
|
|