Re: Ftp: клиент за SNAT, сервер за DNAT
Покотиленко Костик -> Mikolaj Golub @ Tue, 19 Sep 2006 18:03:04 +0300:
>> >> ПК> Я не пойму почему нельзя было сделать так, чтобы в PASV клиент
>> >> ПК> конектился к серверу на 20-й порт, как это происходит в ACTIVE режиме.
>> >>
>> >> Видимо из соображений безопасности. PASV и так в этом отношении несекюрен,
>> >> т.к. после того как клиент послал PASV, атакующий может подсоединиться к порту
>> >> перед клиентом, перехватив дата канал. А Вы хотите, чтоб это вообще был один
>> >> порт, на котором фтп сервер все время будет слушать и отдавать/получать данные
>> >> без всякой там аутентификации-авторизации.
>>
>> ПК> Я бы на 20-й пускал только те IP, которые на 21-й PASV просили ;). Можно
>>
>> Ага, особенно забавно это будет выглядеть, если клиенты за НАТом.
ПК> Правильно, все они будут с одним IP, но если им на PASV куку дать и при
ПК> коннекте на 20-й её проверять - нет проблем.
Что, понятно, не упрощает протокол. На самом деле, тогда не столько о
безопасности думали, сколько такая особенность протокола позволяла (да и
сейчас, в общем, позволяет, только сейчас это в норме делают иначе) load
balancing. В команде PORT может присутствовать отнюдь не адрес того
сервера, с которым ты общаешься по 21 порту. Причем в отличие от
нынешних методов балансирования, этот позволяет принимать решение по
каждому файлу в отдельности.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Современной называется технология, которую пытаются совать во все дырки
независимо от того, заточена она под них или нет.
Д. Белявский
Reply to: