iptables + ftp

0

0

Вопрос следующий: в iptables сейчас достаточно много различных возможностей (стандартных и из patch-o-matic). Какими средствами наиболее просто (и наименее нагружая машину) можно контролировать ftp траффик?
Пример задачи: запрет закачек определенного типа файлов.

Ссылка

←	Как прослушать весь трафик на компе

Connection tracking

→

Никак. Stateful inspection на уровне протокола приложения заделать на iptables нельзя. Ни FTP, ни урлы, ни заголовки почты :(( Как реализован Stateful в Iptables на уровне TCP? - он просто отслеживает Sequence номера в хедерах пакетов и дропит левые и дублированные. Никакого инструмента для отслеживания состояния связи на уровне протокола аппликухи там нет. Есть String patch, глючный, собака, в 1-2-2 вообще не собирается, да и искать может только текстовую строку в отдельно взятом TCP/UDP пакете. К тому же с ним легко нарваться на какой-нибудь Format string bug, так как поделие это это никто по настоящему не тестировал.

Krause ★
(21.09.01 10:43:52 MSD)