[ТЕМА ЗАКРЫТА]
Опции темы
18.03.2009 15:28  
OlegON
Я же подчеркиваю, что возможна ошибка настройки фаера. В эту пользу говорит то, что кое-кто до сих пор жалуется на скан.
 
18.03.2009 15:32  
twix
Цитата:
Сообщение от OlegON
Я же подчеркиваю, что возможна ошибка настройки фаера. В эту пользу говорит то, что кое-кто до сих пор жалуется на скан.
в два ночи в офисе, как правило, никого нет. кому сервер пытался отдавать какие-то данные в это время?
 
18.03.2009 16:09  
OlegON
Извини, хрустальный шар дома забыл ;)
 
18.03.2009 16:11  
twix
Цитата:
Сообщение от OlegON
Извини, хрустальный шар дома забыл ;)
вот-вот. на этот вопрос смог бы ответить только хостер. собственно, он, вроде как, отмазался
 
18.03.2009 16:22  
OlegON
Нет, на этот вопрос мог бы ответить тот, чей фаер ругался :)
 
18.03.2009 16:26  
twix
Цитата:
Сообщение от OlegON
Нет, на этот вопрос мог бы ответить тот, чей фаер ругался :)
Олег, я понимаю, что ты уверен в своем хостере, и в кривизне рук клиентов, но спор это ни к чему не приведет.
я лишь констатирую факт: раньше скан портов от хостера был. сейчас его нет. и дело не в кривизне рук или в смене фаера, а в том, что хостер испытывал проблемы с безопасностью, но признаваться в этом не хочет
имхо, в любом случае каждый останется при своем мнении
 
18.03.2009 18:32  
deucel
Цитата:
Сообщение от twix
сервер отдавал запрошенные данные не на те порты, на которых их ждал клиент. но это, имхо, не есть правильно.
Не совсем правильная формулировка, их фаервол не пропустил по своим правилам. Например FTP соединение в активном и пассивном режиме.
С активным все понятно, а в пассивном мы не знаем по какому порту будет соединение.
Для этого есть:

Цитата:
Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. Схема установки состояния ESTABLISHED достаточна проста для понимания. Единственное требование, предъявляемое к соединению, заключается в том, что для перехода в состояние ESTABLISHED необходимо чтобы узел сети передал пакет и получил на него ответ от другого узла (хоста). После получения ответа состояние соединения NEW или RELATEDбудет изаменено на ESTABLISHED.
Цитата:
Строя свой набор правил, вы можете позволить покидать локальную сеть пакетам со статусом NEW и ESTABLISHED, а во входящем трафике пропускать пакеты только со статусом ESTABLISHED и все будет работать прекрасно. И наоборот, если бы трассировщик продолжал считать соединение как NEW, то фактически вам никогда не удалось бы установить соединение с "внешним миром", либо пришлось бы позволить прохождение NEW пакетов в локальную сеть.
 
18.03.2009 20:06  
twix
Цитата:
Сообщение от deucel
Не совсем правильная формулировка, их фаервол не пропустил по своим правилам. Например FTP соединение в активном и пассивном режиме.
С активным все понятно, а в пассивном мы не знаем по какому порту будет соединение.
неправда! как раз-таки знаем! если фтп-сервер стоит у нас, то в пассивном режиме он принимает соединения не только на 21-й порт, который по RFC ему и принадлежит, но и еще на нескольких, заданным администратором системы, находящимся выже "зоны" в 1024 системных порта. следовательно, при настройке фаера мы знаем, куда будет цепляться клиент в пассивном режиме.
а вот в активном режиме клиент из-за огненной стены подключиться не сможет, потому что в этом случае фаер будет блокировать соединения от сервера
Цитата:
Для этого есть:
это понятно и без русскоязычных мануалов (%
вопрос о существующих и создаваемых соединениях здесь обсуждался. сорри, если где-то непонятно изложился
 
19.03.2009 09:05  
deucel
Цитата:
Сообщение от twix
то в пассивном режиме он принимает соединения не только на 21-й порт, который по RFC ему и принадлежит
Опять ты не прав,
Цитата:
Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов передаются по разным портам. Порт 20 используется для передачи данных, порт 21 для передачи команд.

Цитата:
cat /etc/services
ftp-data 20/tcp # File Transfer [Default Data]
ftp-data 20/udp # File Transfer [Default Data]
ftp 21/tcp # File Transfer [Control]
fsp 21/udp # File Transfer [Control]
в пассивном любой непривилегированный инициализированный сервером в диапазоне 1024 - ~65000 или указанные в настройках для передачи данных, причем в пределах одного сеанса для передачи-получения нескольких файлов могут использоваться разные порты. Вот для этого и используется ESTABLISHED в iptables, чтоб фаервол не срезал соединение на других портах.
:p


Цитата:
8. CONNECTION ESTABLISHMENT

The FTP control connection is established via TCP between the user process port U and the server process port L. This protocol is assigned the service port 21 (25 octal), that is L=21.

RFC 959 October 1985
 
19.03.2009 09:38  
twix
Цитата:
Сообщение от deucel
Опять ты не прав,



в пассивном любой непривилегированный инициализированный сервером в диапазоне 1024 - ~65000 или указанные в настройках для передачи данных, причем в пределах одного сеанса для передачи-получения нескольких файлов могут использоваться разные порты. Вот для этого и используется ESTABLISHED в iptables, чтоб фаервол не срезал соединение на других портах.
:p
*200
в каждом посте одно и то же разными словами.
ну какая разница, на какие порты настроен ФТП для работы в пассивном режиме, если вопрос стоял: за каким чёртом сервер olegon.ru ломился на различные порты клиентских машин посетителей ресурса? даже тогда, когда к нему никто не обращался и не мог обращаться. ё-маё.
и дело тут не в том, что какой-то фаер был криво настроен. если бы сервер пытался отдать полезную инфу, но натыкался бы на дропы, то и клиент не получал бы никакой информации... логично? но клиент нормально обозревал ресурс. а вот что за соединения пытался установить сервер (или, если хотите, какие пакеты он слал) даже в то время, как клиент спокойненько спал дома, непонятно.

спасибо за информацию, кстати, но маны, факи и записи в блогах и вики можно почитать и так. (;
 
 


Опции темы


Часовой пояс GMT +3, время: 05:57.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.