Re: Networking ideology questions.

To: debian-russian@lists.debian.org
Subject: Re: Networking ideology questions.
From: Dmitriy Kropivnitskiy <jeld@mindless.com>
Date: Wed, 21 Nov 2001 11:49:23 -0500
Message-id: <[🔎] 200111211649.fALGnOZ11270@zaphod.tigertesting.com>
Reply-to: jeld@mindless.com
In-reply-to: <[🔎] 20011121190151.A22500@haunt>
References: <[🔎] 20011121155646.D17205@haunt> <[🔎] 200111211432.fALEWuf12588@zaphod.tigertesting.com> <[🔎] 20011121190151.A22500@haunt>

On Wednesday 21 November 2001 11:01 am, Ingvarr Zhmakin wrote:
> > > > > 2) Есть ли разница между:
> > > > >       -j DNAT --to-destination <local_ip>:<port>
> > > > >    и
> > > > >       -j REDIRECT --to-port <port>
> > > >
> > > > В первом случае, переводится и порт и адрес, во втором только порт.
> > > > Т.е.
 если 
 надо перебросить трафик на внутренний сервер
> > > > используется DNAT если на другой порт этой же системы то REDIRECT.
> > >
> > > По man iptables тоже так выходит.
> > > Но почему тогда во всех FM про transparent proxying via Squid приводят
> > > второй вариант? 
> >
> > Не знаю, никогда не общался со squid-ом. Наверно расчет на то что squid и
> > 
 firewall оба на одной машине стоят.
>
> Ну стоят. И что с того?
> Или это в плане того, что если там же gateway, то адресовано все ему???
>  

Я не видел тех FM о которых ты пишешь, судя по всему феня в том что 
пользователи думают что соединяются с скажем www.yahoo.com  а твой gateway их 
при помощи REDIRECT и какой-то матери втихаря ( transparently ) переправляет 
на свой собственный порт на котором сидит squid.

>
> > > > > 5) При работе courier-imap через ssl авторизация будет
> > > > > шифроваться?
> > > >
> > > > В этом вся феня :)
> > >
> > > То есть разрешив только ssl, я могу забыть про дополнительную шифровку
> > > авторизации?
> >
> > Ну, подслушать тебя, пожалуй никто не подслушает. Если не вспоминать про
> > 
 восможность MITM атак.
>
> Каких атак?
> 

Man-In-The-Middle атак. Идея там простенькая, а имплементация довольно 
сложная. Но если ты боишся что твой нешифрованный трафик могут подслушать то 
стоит знать. Представь, что у тебя два шифрующих клиента ( типа IMAP server и 
IMAP client ), а я злой хакер подсевший на один из сегментов. Значит один 
клиент шлет другому аутентикацию, а я ( как злой хакер ) при помощи вещей 
типа ARP spoofing и тому подобных прелестей получаю этот пакет себе. 1-ому 
клиенту я посылаю ответ ( spoof-еный ) а 2-ому сам посылаю запрос на 
аутентикацию. Таким образом, я устанавливаю две шифрованных сессии одну с 
1-ым, а вторую со 2-ым клиентом а сам сижу посередине и между ними пакеты 
гоняю. Естественно что расшифровать я после етого могу обе сессии, и 
благополучно извлекаю твой IMAP трафик прямо изнутри твоего "шифрованного" 
канала.

Reply to:

Follow-Ups:
- Re: Networking ideology questions.
  - From: Ingvarr Zhmakin <ingvarr@mail.ru>

References:
- Networking ideology questions.
  - From: Ingvarr Zhmakin <ingvarr@mail.ru>
- Re: Networking ideology questions.
  - From: Dmitriy Kropivnitskiy <jeld@mindless.com>
- Re: Networking ideology questions.
  - From: Ingvarr Zhmakin <ingvarr@mail.ru>

Prev by Date: Re: холивары (fwd)
Next by Date: vICQ
Previous by thread: Re: Networking ideology questions.
Next by thread: Re: Networking ideology questions.
Index(es):
- Date
- Thread