![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
NNTP ist ein Dienst auf Basis von TCP. NNTP-Server benutzen Port 119. NNTP-Clients (sowie Server, die News zu anderen Servern �bertragen), benutzen Portnummern �ber 1023.
Regel Richtung Protokoll Quellport Zielport Erg�nzungen
1 ein TCP >1023 119 SYN/ACK
2 aus TCP 119 >1023 ---/ACK
3 aus TCP >1023 119 SYN/ACK
4 ein TCP 119 >1023 ---/ACK
5 intern TCP >1023 119 SYN/ACK
6 intern TCP 119 >1023 ---/ACK
2: Eingehende News-Antwortworten. ACK gesetzt
3: Ausgehende News. ACK gesetzt, au�er im ersten Paket
4: Ausgehende News-Antworten. ACK gesetzt
5: Client zum lesen von News (Newsreader). ACK gesetzt, au�er im ersten Paket
6: Server sendet Artikel zu einem News-Reader. ACK gesetzt
Wir betrachten hier das PROXY - Regelwerk zwischen einem NEWS-FEED Server des Providers und dem internen NEWS-Server. Zum Empfang und Senden von NEWS m�ssen ein und ausgehende Pakete erlaubt sein. Da NEWS-Server komplexe Funktionen besitzen, sollte man folgende Regeln beachten.
Regel Richtung Protokoll Quellport Zielport Kommentar
1 Server TCP >1023 119 Aktion zulassen, ACK beliebig
2 Provider TCP 119 >1023 Aktion zulassen, ACK gesetzt
3 Provider TCP >1023 119 Aktion zulassen, ACK beliebig
4 Server TCP 119 >1023 Aktion zulassen, ACK gesetzt
Zum Empfang von NEWS (Regel 1) mu� zum Port 119 SYN/ACK m�glich sein. Um NEWS zu senden m�ssen Verbindungen von Port 119 zu einem unprivilegierten Port m�glich sein. In den Firewallregeln bedeutet ACK beliebig also eine bidirektionale �ffnung f�r Pakete sowohl mit gesetztem SYN als auch nur mit ACK-Bit, daher diese Bezeichnung.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |