|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexandr Goncharov 2:5020/400 25 Mar 2002 11:19:15
To : Andrey Ivanov
Subject : Re: как ограничить ftp на шлюзе?
--------------------------------------------------------------------------------
Andrey Ivanov <aivanov@damen-okean.com> wrote:
AI> Доброго времени суток!
AI> Эта проблема уже обтиралась в форуме, но в основном слышались обшие
AI> фразы и заумные выражения, типа "читайте ман, что же тут непонятного?".
AI> Так вот, спрашиваю конкретно о том, что непонятно:
AI> в основном при ftp-сессии задействованы непривилегированные порты (уже
AI> разьяснили, что это пассивный режим - что с того?), ограничивать траффик
С того - при пассивном режиме клиент соединяется с портом сервера >1023,
при активном - с портом 20.
AI> по непривилегированным портам нет смысла,
Почему?
Речь идет о _входящих_ соединениях, а не _исходящих_
В некоторых случаях имеет смысл вообще запрещать коннекты к себе по
непривилегированным портам.
AI> выходит, фтп никак не ограничить? Или послать его на сквид?
Можно резать полосу, если входящий коннект был к порту >1023.
Как-то так:
ipfw add pipe 1 ip from any to FTP.SERV.IP.ADDRESS 1023-
ipfw pipe 1 config bw 128Kbit/s delay 300ms
Или запретить ftp серверу работать в пассивном режиме.
AI> С уважением и надеждой на скорейшее выздоравление, Andrew Ivanov
AI> e-mail: aivanov@damen-okean.com
AI> icq: 141800737
--
Alexandr V. Goncharov, | Digital Networks, Tomsktelecom
AGV-RIPE, | agv@tomsknet.ru
AGV3-RIPN | phonе: +7(382-2)662510
--- ifmail v.2.15dev5
* Origin: Tomsktelecom - Digital Networks (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
