Dotaz na pridelovani portu v IP

Pondělí Listopad 13 11:39:25 CET 2000

Ing. Pavel PaJaSoft Janousek <janousek na fonet.cz> wrote:
-> Rozumim tomu spravne, ze na strane serveru se demultiplexuje pouze
-> podle src_addr a src_port?

nie, podla _vsetkych_ parametrov... src aj dst host aj port

-> Priznam se, ze jsem se do fd2 co mi vraci accept nedival, ale mel jsem
-> za to, ze data na server uz jdou fyzicky pres jiny port na strane
-> serveru (resp. ze read (fd2) na serveru jiz data necte z portu, na ktery
-> se klient prihlasoval). Mel jsem za to, ze pokud mam neco ala:

nie, fd2 je otvorene spojenie na danom porte, fd1 je len bindnuty na danom
porte a cakajuci na tie spojenia...

-> while (1)
-> {
->   fd2=accept(srv2)
->   if (fork()
->   {
->     //syn
->     //zpracovani
->   }
-> }

-> pak v synovi zpracovavam request a rodic muze dostat behem teto doby
-> obslouzit dalsi zadost na well-known port (coz ma za nasledek 2. syna). A
-> ja jsem si prave myslel, ze synove 'lokalne' se serverem jiz komunikuji
-> (implicitne) na jinem portu (dostanou ho prave ve fd2) nez fd.

Nuz, otec ma na danom porte listen() cim len caka na vytvarane spojenia, a
vsetky otvorene sockety cez ktore sa komunikuje odovzdava synom...

->         Ano pouzivam ipchains (IMHO dostacuje plne). Z toho, co jsem ted
-> nacerpal mi vyplyva, ze rekneme, ze na stanici AXYZ chci mit verejne
-> pristupny jen port A. Pak mohu udelat tyto forwardovaci pravidla:

-> 1. -s 0/0 -d XYZ/32 A -j ACCEPT
-> 2. -s XYZ/32 -d 0/0 -j ACCEPT
-> 3. -s 0/0 -d 0/0 -j REJECT (pro paranoidni DENY:))

no yo, a budu vam floodovat linku syn paketmi smerom dnu kym sa to
nevytimeoutuje miesto toho aby dostali ICMP port unreachable a nechali to
hned...

-> a mam zaruceno, ze z venku se nema utocnik sanci nikam jinam pripojit
-> (bavim se o filtraci na urovni firewallu, ne na urovni daneho stroje),
-> ale veskera komunikace z vnitrku ven jde bez problemu (zde v podstate
-> _nesmim_ filtrovat nic, protoze nevim, ktery lokalni port OS prideli).

to nie... to posledne pravidlo zakaze akukolvek komunikciu hociktorym smerom
bez ohladu na to ci bola iniciovana zvonka ci zvnutra...

-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 On the other hand, you have different fingers. 

---
Odchozí zpráva obsahuje viry.
Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 6.0.167 / Virová báze: 80 - datum vydání: 6/29/2000