一个NAT＋SQUID＋DNAT＋FORWARD＋反弹式FIREWALL的例子[2]

 zerohv 回复于：2004-06-24 15:58:05 [quote:19164122c8="platinum"]第一个是透过防火墙的FTP工作方式，默认跟踪连接TCP-21的其他端口，并打开他

第二个是NAT用的，用于FIREWALL后面的机器

如果你的FTP-SERVER的端口不是21而是2121，那么需要改成
/sbin/modprobe ip_conntrack_..........[/quote:19164122c8]

如果我有多个ftp服务器，多个端口要转换，怎么设？端口用逗号隔开？还是新写一条？

 lingg2002 回复于：2004-06-24 19:07:13 [quote:72a2e8aa71]
好像现在有些网站的ttl会随访问者动态改变. 
我现在ping 61.172.201.228在浙江和北京返回的ttl都是50 
(ping 可以用i指定你的ttl) 
然后ping 61.172.201.228 -i 12(设置我的ttl)返回的是Reply from 202.109.0.174(在这个R被丢弃): TTL expired in transit. 
在北京Reply from 202.109.0.174(在这个R被丢弃): TTL expired in transit. 
而在浙江用i13的话就正常了。但是北京的话就不行了. 
就是说浙江和北京到61.172.201.228之间的Router数量是不通的. 
但是我们看到返回的数据包的ttl确实相同的. 
也就是说我这里到61.172.201.228 是13个R. 
在北京这个i的值还要大一点。那么为什么返回到机器的ttl都是50阿
[/quote:72a2e8aa71]

那位老大知道

 platinum 回复于：2004-06-24 20:31:40 [quote:5325b3617b="zerohv"]

如果我有多个ftp服务器，多个端口要转换，怎么设？端口用逗号隔开？还是新写一条？[/quote:5325b3617b]
/sbin/modprobe ip_conntrack_ftp port=21,2121,xxxx

 hiandy 回复于：2004-06-25 22:57:34 内网（eth1）192.168.0.1/24 

是什么意思?
是水是指： 192.168.0.1 一直到 192.168.0.24啊？

 zch4202403 回复于：2004-06-26 08:04:34 [quote:b5031637f6="hiandy"]内网（eth1）192.168.0.1/24 

是什么意思?
是水是指： 192.168.0.1 一直到 192.168.0.24啊？[/quote:b5031637f6]
是指：192.168.0.1----192.168.0.255 NETMASK255.255.255.0 :em02:

 platinum 回复于：2004-06-26 10:05:05 [quote:e4735bf198="hiandy"]内网（eth1）192.168.0.1/24 

是什么意思?
是水是指： 192.168.0.1 一直到 192.168.0.24啊？[/quote:e4735bf198]
代表服务器的内网地址是192.168.0.1
它所在的网段是一个标准C
即netmask 255.255.255.0
其网段有效地址为192.168.0.1-192.168.0.254

 linuxloveu 回复于：2004-06-27 15:21:08 如何在RH 9。0中设置TTL!!!

 lingg2002 回复于：2004-06-27 18:44:09 [quote:34fddddb85]如何在RH 9。0中设置TTL!!![/quote:34fddddb85]
vi /etc/sysctl.conf 

# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.

# Controls IP packet forwarding
net.ipv4.ip_forward = 0

net.ipv4.ip_default_ttl=90
....

然后service network restart

 haiyan105 回复于：2004-06-27 23:39:10 楼主：：我把你的iptable 脚本用在我的linux上也不以正确的解析出DNS。
能请你帮我喋看看我的问题吗？《请教为什么我的iptable与squid 不能实现透明代理？？？？？》。先谢谢你！！！

 platinum 回复于：2004-06-28 02:13:10 [quote:ff70d027ac="haiyan105"]楼主：：我把你的iptable 脚本用在我的linux上也不以正确的解析出DNS。
能请你帮我喋看看我的问题吗？《请教为什么我的iptable与squid 不能实现透明代理？？？？？》。先谢谢你！！！[/quote:ff70d027ac]
首先，你的环境未必和我一样
其次，你的CLIENT的DNS未必设置正确
再次，你的/etc/resolv.conf是否设置了我也不知道

 winfox 回复于：2004-06-28 11:45:03 多谢！

 firer2000 回复于：2004-07-02 20:25:33 这个反弹到底有什么作用啊？

 llzqq 回复于：2004-07-02 20:49:41 [quote:5ac41f386b="firer2000"]这个反弹到底有什么作用啊？[/quote:5ac41f386b]

我的理解是：你想踢我一脚，结果把自己给踢了。

 点击鼠标 回复于：2004-07-02 22:14:08 test

 lyking 回复于：2004-07-02 22:18:18 楼主，有个问题。这种反弹式防火墙有可能被攻击者利用，比如攻击者产生特殊的数据包，把源地址写成真正要攻击的目标，这样看上去好像是防火墙在攻击目标。

 platinum 回复于：2004-07-03 00:38:49 没做过试验
不过理论上确实可行，那种不需要经过三次握手的攻击，确实可以

 zhoulm 回复于：2004-08-20 15:56:52 多谢斑竹，今天看到了您的这个帖子，解决了我的一个问题，就是被动式ftp工作模式时的连接问题。
就觉得iptables应该能实现类似于pix里面的fixup protocol ftp 21

谢谢！！

 andyliu 回复于：2004-10-11 17:09:21 对于反弹的意义不是太明白 :cry: