Re: Ftp: клиент за SNAT, сервер за DNAT

To: Artem Chuprina <ran@ran.pp.ru>
Cc: debian-russian@lists.debian.org
Subject: Re: Ftp: клиент за SNAT, сервер за DNAT
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Wed, 20 Sep 2006 10:32:51 +0300
Message-id: <[🔎] 1158737571.6206.0.camel@localhost.localdomain>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 60637322@tigger.lan.cryptocom.ru>
References: <[🔎] 1158591849.3952.14.camel@localhost.localdomain> <[🔎] 14252506@tigger.lan.cryptocom.ru> <[🔎] 1158653641.11577.3.camel@localhost.localdomain> <[🔎] 91047128@wizzle.ran.pp.ru> <[🔎] 1158667572.11577.10.camel@localhost.localdomain> <[🔎] 87k6400yc5.fsf@zhuzha.inec.private> <[🔎] 1158676701.11577.14.camel@localhost.localdomain> <[🔎] 87ac4v29f8.fsf@zhuzha.inec.private> <[🔎] 1158678184.11634.17.camel@localhost.localdomain> <[🔎] 60637322@tigger.lan.cryptocom.ru>

В Вто, 19/09/2006 в 20:18 +0400, Artem Chuprina пишет:
> Покотиленко Костик -> Mikolaj Golub  @ Tue, 19 Sep 2006 18:03:04 +0300:
> 
>  >>  >>  ПК> Я не пойму почему нельзя было сделать так, чтобы в PASV клиент
>  >>  >>  ПК> конектился к серверу на 20-й порт, как это происходит в ACTIVE режиме.
>  >>  >> 
>  >>  >> Видимо из соображений безопасности. PASV и так в этом отношении несекюрен,
>  >>  >> т.к. после того как клиент послал PASV, атакующий может подсоединиться к порту
>  >>  >> перед клиентом, перехватив дата канал. А Вы хотите, чтоб это вообще был один
>  >>  >> порт, на котором фтп сервер все время будет слушать и отдавать/получать данные
>  >>  >> без всякой там аутентификации-авторизации.
>  >> 
>  >>  ПК> Я бы на 20-й пускал только те IP, которые на 21-й PASV просили ;). Можно
>  >> 
>  >> Ага, особенно забавно это будет выглядеть, если клиенты за НАТом.
> 
>  ПК> Правильно, все они будут с одним IP, но если им на PASV куку дать и при
>  ПК> коннекте на 20-й её проверять - нет проблем.
> 
> Что, понятно, не упрощает протокол.  На самом деле, тогда не столько о
> безопасности думали, сколько такая особенность протокола позволяла (да и
> сейчас, в общем, позволяет, только сейчас это в норме делают иначе) load
> balancing.  В команде PORT может присутствовать отнюдь не адрес того
> сервера, с которым ты общаешься по 21 порту.  Причем в отличие от
> нынешних методов балансирования, этот позволяет принимать решение по
> каждому файлу в отдельности.

Тоже вариант :-)

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

References:
- Ftp: клиент за SNAT, сервер за DNAT
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Mikolaj Golub <golub@inec.kharkov.com>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Mikolaj Golub <golub@inec.kharkov.com>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: Ftp: клиент за SNAT, сервер за DNAT
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Re: общение с использованием webcam
Next by Date: Re: sensors
Previous by thread: Re: Ftp: клиент за SNAT, сервер за DNAT
Next by thread: Перевод FVWM Beginners Guide
Index(es):
- Date
- Thread