home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3927 < prev    next >
Encoding:
Text File  |  1992-07-30  |  1.9 KB  |  41 lines

  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!cs.utexas.edu!torn!maccs!beame
  3. From: beame@maccs.dcss.mcmaster.ca (Carl Beame)
  4. Subject: Re: Stopping only incoming TCP connections (was: Firewall usage)
  5. Message-ID: <1992Jul31.001141.2305@maccs.dcss.mcmaster.ca>
  6. Organization: McMaster University, Hamilton, Ontario, Canada.
  7. References: <17011@ulysses.att.com> <1992Jul28.202211.14029@shearson.com> <chrisc.21.712446813@ramrod.lmt.mn.org>
  8. Date: Fri, 31 Jul 1992 00:11:41 GMT
  9. Lines: 30
  10.  
  11. In article <chrisc.21.712446813@ramrod.lmt.mn.org> chrisc@ramrod.lmt.mn.org (Chris Cox) writes:
  12. >In article <1992Jul28.202211.14029@shearson.com> pmetzger@snark.shearson.com (Perry E. Metzger) writes:
  13. >
  14. >>I was under the impression that if you filter all the SYN packets from
  15. >>one direction that aren't SYN ACKs, bingo, you can't initiate any
  16. >>incoming TCP connections.  Nice and stateless. The only flaw is that
  17. >>implementations that seperately ACK the initiating SYN and then send
  18. >>their own SYN won't be able to connect, but they are rare. Connections
  19. >
  20. >That would eliminate your users from starting ftp data sessions (wouldn't 
  21. >it?).
  22. >
  23.  
  24.     If your Firewall stopped all remote TCP packets with SYNs which are
  25. for ports < 1024 except Domainname and SMTP, you could still FTP out and
  26. receive mail and possibly domainname requests. For UDP you might want
  27. to inhibit port 111 (portnampper) and 2049 (nfs) and possibly TFTP. 
  28.  
  29.     A properly configured Firewall Router can allow access from the
  30. local net onto the Internet and even allow Internet access to specific
  31. services or servers on the local net. For Example: If you want to provide 
  32. anonymous FTP from a single host on your local net, just configure the 
  33. router to pass FTP SYN requests only to the specific host.
  34.  
  35. - Carl Beame
  36. Beame & Whiteside Software Ltd.
  37.  
  38. P.S: I don't know of any comercial router which can do all this, but public
  39. domain ones could be modified.
  40.  
  41.