Serwery PLD - moze chociaz jeden dzialajacy HTTP, oraz refleksja
Jacek Konieczny
jajcus w bnet.pl
Pią, 24 Sty 2003, 08:29:09 CET
On Fri, Jan 24, 2003 at 02:21:34AM +0100, Robert R. Wal wrote:
> On 03.01.22 Artur Flinta pressed the following keys:
>
> > Może admina nie załadował kilku modułów do przepuszczania ftp
> > przez masq? Ja molestowałem swojego i po kilku dniach w końcu udało
> > im się to odpalić, niemneij trzeba być upierdliwym. :-)
>
> On miał rację, że nie zamontował, a jak się dał namówić, to znaczy, że
> głupi. Moduły do maskarady przepuszczające zwrotne połączenia do ftp,
> irc i podobnych to jedna wielka dziura w systemie, która otwiera
> połączenie do wnętrza sieci nawet jeśli ktoś ściągnie odpowiednio
> spreparowany listy, czy stronę WWW.
To zależy czy maskarada byłą częścią firewalla, czy po prostu robiła za
maskaradę. Nie każda maskarada to firewall, czasem chodzi tylko o to,
aby ileś maszyn wychodziło z jednym IP (z powodu braku adresów). Tak
jest w przypadku większości sieci osiedlowych (nie nazwałbym
ichniejszych "serwerów" firewallami). W takim przypadku ważne jest to,
żeby jak najwięcej usług działało bez przeszkód (jakby było zewnętrzne
IP), a nie żeby nie było wejścia do sieci wewnętrznej.
Firewall to zupełnie inna sprawa. Tam może nie być maskarady,
a active-ftp powinno być zablokowane (passive właściwie też, bo numery
portów są nieprzewidywalne). Niestety FTP to bardzo kiepski protokół,
gdy przychodzi do przepuszczania go przez firewall/maskaradę. Przykre
jest to, że nie wprowadzono jeszcze niczego nowszego i lepszego (HTTP to
nie jest to co byłoby potrzeba).
Pozdrowienia,
Jacek
Więcej informacji o liście dyskusyjnej pld-users-pl