Nastny Poprzedni Spis Trei

5. Nowe łaty dla śledzenia połączeñ

W tej sekcji przedstawimy dostêpne łaty śledzenia połączeñ i NAT. By ich użyæ, załaduj odpowiednie moduły (z opcjami, jeśli są wymagane).

5.1 Łata eggdrop-conntrack

Łata autorstwa Magnusa Sandini <magnus@sandin.cx> dodaje obsługê dla połączeñ botów eggdrop.

5.2 Łata ftp-fxp

Łata autorstwa Magnusa Sandini <magnus@sandin.cx> dodaje obsługê FXP do śledzenia sesji FTP. Nie działa jeszcze użycie FXP do maszyn z demonem ftp za NAT'em. By włączyæ moduł, napisz:

# modprobe ip_conntrack_ftp.o fxp=1

Łata ostrzega informacją o bezpieczeñstwie: UWAGA, użycie tej łaty i włączenie jej OBNIŻY poziom bezpieczeñstwa oferowany przez moduł śledzenia połączeñ FTP. Używaj go z dużą ostrożnością (i tylko wtedy, gdy wiesz co robisz).

5.3 Łata irc-conntrack-nat

Łata autorstwa Haralda Welte <laforge@gnumonks.org> dodaje obsługê DCC przez NAT.

5.4 Łata record-rpc

Łata autorstwa Marcelo Barbosa Lima <marcelo.lima@dcc.unicamp.br> umożliwia netfilter śledzenie żądañ portmapper'a wykonywanych przez TCP i UDP.

5.5 Łata snmp-nat

Łata autorstwa Jamesa Morrisa <jmorris@intercode.com.au> dodaje do NAT możliwośæ operowania na połączeniach SNMP. Jest to wersja protokołu SNMP-ALG opisana w RFC 2962: http://www.faqs.org/rfcs/rfc2962.html i działa przez modyfikacjê adresów IP w pakietach SNMP tak, by pasowały do mapowañ NAT w warstwie IP.

5.6 Łata talk-conntrack-nat

Łata autorstwa Jozsefa Kadlecsika <kadlec@blackhole.kfki.hu> dodaje możliwośæ śledzenia przez netfilter połaczeñ `talk', jak również obsługi ich NATowania. Domyślnie, obsługiwane są zarówno otalk (port UDP 517) jak i talk (port UDP 518). Obsługê obu programów można wyłączaæ i włączaæ selektywnie, za pomocą parametrów modułów ip_conntrack_talk i ip_nat_talk modules. Dostêpne opcje to:

gdzie `0' oznacza `nie obsługuj' a `1' oznacza `obsługuj' dany protokół.

5.7 Łata tcp-window-tracking

Łata autorstwa Jozsefa Kadlecsika <kadlec@blackhole.kfki.hu> dodaje możliwośæ śledzenia połączeñ TCP na zasadach opisanych w artykule Real Stateful TCP Packet Filtering in IP Filter autorstwa Guido van Rooij. Oznacza to obsługê skalowanych okien i obsługiwanie już wcześniej ustanowionych połączeñ.

Łata wymaga innej łaty - `ftp-fixes'. Powinna byæ ona już w standardowym kernelu.


Nastny Poprzedni Spis Trei