Re: Networking ideology questions.
On Wednesday 21 November 2001 07:56 am, Ingvarr Zhmakin wrote:
>
> 1) Правду ли говорят, что REJECT (отсыл отлупа) -- более эффективен,
> чем DROP? С одной стороны -- похоже, но не может ли на одних
> режектах набежать трафика при должном подходе со стороны
> злоумышленников?
Значит так. Честные люди, которые хотят придерживаться RFC должны
использовать REJECT, ибо сказано, что на фильтрованый порт да пошлется
подобающий ICMP. Проблем с этим две ( основных ). Во-первых такая система
сразу говорит сканирующему что порт закрыт и можно сканировать дальше, тогда
как DROP ничего не говорит и гаду-со-сканнером надо каждый раз ждать timeout.
Во-вторых, гипотетически путем IP spoofing твою систему можно использовать
как агент для ICMP флуда других систем.
>
> 2) Есть ли разница между:
> -j DNAT --to-destination <local_ip>:<port>
> и
> -j REDIRECT --to-port <port>
>
В первом случае, переводится и порт и адрес, во втором только порт. Т.е. если
надо перебросить трафик на внутренний сервер используется DNAT если на другой
порт этой же системы то REDIRECT.
> 3) Есть ли разница между:
> PORTS="21 53 80"
> for P in $PORTS ; do
> iptables <...> --dport $P <...>
> done
> и
> iptables <...> --dport 21,53,80 <...>
>
При первом варианте ты получаешь 3 правила а при втором одно.
>
> Об авторизации.
>
> 4) Courier-IMAP может авторизоваться через PAM (проще всего, вроде бы)
> или cram-md5.
> Правильно ли я понимаю, что даже если системные пароли под md5, при
> PAM-авторизации непосредственно через сеть они будут пересылаться в
> виде plain-text?
Если я правильно понимаю, IMAP делает какой-то hash из пароля, типа как APOP,
так что ето не совсем plain text впрочем это и не encryption.
>
> 5) При работе courier-imap через ssl авторизация будет шифроваться?
В этом вся феня :)
>
> 6) Насколько опасно пользование sqwebmail? Будем считать, что
> непосредственно на машине, с которой происходит работа, пароли в
> броузере никто не сканирует.
Без понятия.
Reply to: