Expirace packetu via masquerading (telnet/ssh)
Lukas Horalek
lin na valley.cz
Neděle Prosinec 5 06:12:56 CET 1999
Dobry den,
mam nasledujici problem/dotaz.
Situace: Mejme nejakou firmu, v ni mnozstvi pocitacu, ktere se dostavaji
do Internetu pomoci jednoho Linuxu (nazveme ho A), a pomoci jedne IP
adresy tohoto Linuxu - zkratka bezny masquerading.
A ted si predstavme, ze se nekdo z vnitrku site, pripadne z domova pres
modem napichly ve vnitrni siti, pripoji takto na Internet, resp. se
prihlasi na nejaky vzdaleny Unix. Pak na onom vzdalenem Linuxu bude jeho
adresa prihlaseni jakozto onen "Linux A" ve zminene firme - az potud vse v
poradku.
Problem mi vyvstal ve chvili, kdy jsem zjistil, ze (oteviram mnoho ssh
seanci naraz) na onom firemnim Linuxu A mohu mit idlevu (vesely termin
vzniknuvsi spojenim slov 'idle' a 'prodleva' :) ) jakou chci, a nic se
nedeje; oproti tomu, jsem-li prihlasen na nejake vzdalene stroje (tedy
mimo masquerovaci rozsah Linuxu A), po 15 minutach necinnosti jest mi
prislusna telnet/ssh seance sestrelena.
Po chvilce badani jsem odhalil pricinu. Pres vypis spojeni na
masqueradovacim Linuxu A (ipchains -M -L) jsem se znovu ujistil, ze zde
uvadeny expire time zacina na 15:00:00, a postupne klesa - a tento cas
skutecne koresponduje s dobou odstreleni prislusne telnet/ssh seance -
resp. tedy po vyprseni na 00:00:00 je prislusny zaznam z masquerade listu
odstranen.
Jelikoz mi (znovu opakuji, ze rad pouzivam velke mnozstvi ssh seanci) ona
ctvrhodina leckdy nepostacuje, dovoluji se optati, jak je mozno resit
tento problem. Lze zvednout nejak onen expiracni limit? A pokud lze, pak
jeste lepe selektivne - tzn. vse (WWW & spol.) nechat na onech 15
minutach, pouze telnet/ssh TCP packety "pozdvihnout" na delsi dobu
expirace...?
Dekuji za rady a podnety.
S pozdravem
Lukas Horalek.
Další informace o konferenci Linux