OlegON➤ Нет, на этот вопрос мог бы ответить тот, чей фаер ругался :)
Олег, я понимаю, что ты уверен в своем хостере, и в кривизне рук клиентов, но спор это ни к чему не приведет.
я лишь констатирую факт: раньше скан портов от хостера был. сейчас его нет. и дело не в кривизне рук или в смене фаера, а в том, что хостер испытывал проблемы с безопасностью, но признаваться в этом не хочет
имхо, в любом случае каждый останется при своем мнении
twix➤ сервер отдавал запрошенные данные не на те порты, на которых их ждал клиент. но это, имхо, не есть правильно.
Не совсем правильная формулировка, их фаервол не пропустил по своим правилам. Например FTP соединение в активном и пассивном режиме.
С активным все понятно, а в пассивном мы не знаем по какому порту будет соединение.
Для этого есть:
Цитата:
Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. Схема установки состояния ESTABLISHED достаточна проста для понимания. Единственное требование, предъявляемое к соединению, заключается в том, что для перехода в состояние ESTABLISHED необходимо чтобы узел сети передал пакет и получил на него ответ от другого узла (хоста). После получения ответа состояние соединения NEW или RELATEDбудет изаменено на ESTABLISHED.
Цитата:
Строя свой набор правил, вы можете позволить покидать локальную сеть пакетам со статусом NEW и ESTABLISHED, а во входящем трафике пропускать пакеты только со статусом ESTABLISHED и все будет работать прекрасно. И наоборот, если бы трассировщик продолжал считать соединение как NEW, то фактически вам никогда не удалось бы установить соединение с "внешним миром", либо пришлось бы позволить прохождение NEW пакетов в локальную сеть.
deucel➤ Не совсем правильная формулировка, их фаервол не пропустил по своим правилам. Например FTP соединение в активном и пассивном режиме.
С активным все понятно, а в пассивном мы не знаем по какому порту будет соединение.
неправда! как раз-таки знаем! если фтп-сервер стоит у нас, то в пассивном режиме он принимает соединения не только на 21-й порт, который по RFC ему и принадлежит, но и еще на нескольких, заданным администратором системы, находящимся выже "зоны" в 1024 системных порта. следовательно, при настройке фаера мы знаем, куда будет цепляться клиент в пассивном режиме.
а вот в активном режиме клиент из-за огненной стены подключиться не сможет, потому что в этом случае фаер будет блокировать соединения от сервера
Цитата:
Для этого есть:
это понятно и без русскоязычных мануалов (%
вопрос о существующих и создаваемых соединениях здесь обсуждался. сорри, если где-то непонятно изложился
twix➤ то в пассивном режиме он принимает соединения не только на 21-й порт, который по RFC ему и принадлежит
Опять ты не прав,
Цитата:
Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов передаются по разным портам. Порт 20 используется для передачи данных, порт 21 для передачи команд.
Цитата:
cat /etc/services
ftp-data 20/tcp # File Transfer [Default Data]
ftp-data 20/udp # File Transfer [Default Data]
ftp 21/tcp # File Transfer [Control]
fsp 21/udp # File Transfer [Control]
в пассивном любой непривилегированный инициализированный сервером в диапазоне 1024 - ~65000 или указанные в настройках для передачи данных, причем в пределах одного сеанса для передачи-получения нескольких файлов могут использоваться разные порты. Вот для этого и используется ESTABLISHED в iptables, чтоб фаервол не срезал соединение на других портах.
:p
Цитата:
8. CONNECTION ESTABLISHMENT
The FTP control connection is established via TCP between the user process port U and the server process port L. This protocol is assigned the service port 21 (25 octal), that is L=21.
в пассивном любой непривилегированный инициализированный сервером в диапазоне 1024 - ~65000 или указанные в настройках для передачи данных, причем в пределах одного сеанса для передачи-получения нескольких файлов могут использоваться разные порты. Вот для этого и используется ESTABLISHED в iptables, чтоб фаервол не срезал соединение на других портах.
:p
*200
в каждом посте одно и то же разными словами.
ну какая разница, на какие порты настроен ФТП для работы в пассивном режиме, если вопрос стоял: за каким чёртом сервер olegon.ru ломился на различные порты клиентских машин посетителей ресурса? даже тогда, когда к нему никто не обращался и не мог обращаться. ё-маё.
и дело тут не в том, что какой-то фаер был криво настроен. если бы сервер пытался отдать полезную инфу, но натыкался бы на дропы, то и клиент не получал бы никакой информации... логично? но клиент нормально обозревал ресурс. а вот что за соединения пытался установить сервер (или, если хотите, какие пакеты он слал) даже в то время, как клиент спокойненько спал дома, непонятно.
спасибо за информацию, кстати, но маны, факи и записи в блогах и вики можно почитать и так. (;