[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ftp: клиент за SNAT, сервер за DNAT

В Вто, 19/09/2006 в 16:39 +0300, Mikolaj Golub пишет:
> On Tue, 19 Sep 2006 15:06:12 +0300 Покотиленко Костик wrote:
> 
>  ПК> Я не пойму почему нельзя было сделать так, чтобы в PASV клиент
>  ПК> конектился к серверу на 20-й порт, как это происходит в ACTIVE режиме.
> 
> Видимо из соображений безопасности. PASV и так в этом отношении несекюрен,
> т.к. после того как клиент послал PASV, атакующий может подсоединиться к порту
> перед клиентом, перехватив дата канал. А Вы хотите, чтоб это вообще был один
> порт, на котором фтп сервер все время будет слушать и отдавать/получать данные
> без всякой там аутентификации-авторизации.

Я бы на 20-й пускал только те IP, которые на 21-й PASV просили ;). Можно
и печенько скормить, вариантов достаточно.

-- 
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: