Re: Networking ideology questions.
On Wednesday 21 November 2001 11:01 am, Ingvarr Zhmakin wrote:
> > > > > 2) Есть ли разница между:
> > > > > -j DNAT --to-destination <local_ip>:<port>
> > > > > и
> > > > > -j REDIRECT --to-port <port>
> > > >
> > > > В первом случае, переводится и порт и адрес, во втором только порт.
> > > > Т.е.
если
надо перебросить трафик на внутренний сервер
> > > > используется DNAT если на другой порт этой же системы то REDIRECT.
> > >
> > > По man iptables тоже так выходит.
> > > Но почему тогда во всех FM про transparent proxying via Squid приводят
> > > второй вариант?
> >
> > Не знаю, никогда не общался со squid-ом. Наверно расчет на то что squid и
> >
firewall оба на одной машине стоят.
>
> Ну стоят. И что с того?
> Или это в плане того, что если там же gateway, то адресовано все ему???
>
Я не видел тех FM о которых ты пишешь, судя по всему феня в том что
пользователи думают что соединяются с скажем www.yahoo.com а твой gateway их
при помощи REDIRECT и какой-то матери втихаря ( transparently ) переправляет
на свой собственный порт на котором сидит squid.
>
> > > > > 5) При работе courier-imap через ssl авторизация будет
> > > > > шифроваться?
> > > >
> > > > В этом вся феня :)
> > >
> > > То есть разрешив только ssl, я могу забыть про дополнительную шифровку
> > > авторизации?
> >
> > Ну, подслушать тебя, пожалуй никто не подслушает. Если не вспоминать про
> >
восможность MITM атак.
>
> Каких атак?
>
Man-In-The-Middle атак. Идея там простенькая, а имплементация довольно
сложная. Но если ты боишся что твой нешифрованный трафик могут подслушать то
стоит знать. Представь, что у тебя два шифрующих клиента ( типа IMAP server и
IMAP client ), а я злой хакер подсевший на один из сегментов. Значит один
клиент шлет другому аутентикацию, а я ( как злой хакер ) при помощи вещей
типа ARP spoofing и тому подобных прелестей получаю этот пакет себе. 1-ому
клиенту я посылаю ответ ( spoof-еный ) а 2-ому сам посылаю запрос на
аутентикацию. Таким образом, я устанавливаю две шифрованных сессии одну с
1-ым, а вторую со 2-ым клиентом а сам сижу посередине и между ними пакеты
гоняю. Естественно что расшифровать я после етого могу обе сессии, и
благополучно извлекаю твой IMAP трафик прямо изнутри твоего "шифрованного"
канала.
Reply to: