ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD Цитата: А где же тогда стоит FTP сервер ?   Если на том же 192.168.0.2 - то как ты к нему получишь доступ ? А это уже не забота брендмауэра, как ты к нему получишь доступ. Если твой сервер стоит в локалке за брендмауэром, то достучаться до него извне можно только через переадресацию портов на внешнем интерфейсе шлюза между локалкой и интернетом. Если ты настаиваешь на том, что надо закрывать все порты, то я настаиваю на том, что это имеет смысл только для защиты машины на которой, собственно, этот брендмауэр и установлен, т.е. в подавляющем большинстве случаев это наверняка будет какой-то personal firewall на машине конечного пользователя. На на таких машинах ftp серверы обычно не устанавливают. Если все же ты его установил, то тебе либо открывать все порты, на которые этот ftp может ожидать соединения, либо брендмауэр должен быть интеллектуальным, чтобы анализировать ftp трафик, а таких я среди персональных не встречал. На остальных брендмауэрах же, отделяющих сети друг от друга, а не хост от сети (т.е. не персональных), закрывать все неактивные порты (на которых ничего не висит или не должно висеть на самом брендмауэре) нет никакого смысла, бо они абсолютно useless на предмет соединения с чем бы то ни было. Согласен?   SurfKoba Цитата: Я абсолютно не пытаюсь Вас обидеть Во-первых, мы тут на "ты", невзирая на возраст, чины и прочее. Так уж склалОсь среди сетян, незнакомых друг с другом лично. А во-вторых, ты меня не обидел ничем. Просто я не совсем улавливаю при чем тут то, что ты пишешь. Цитата: если мы пытается спорить что не бывает активного FTP из-за NAT (конечно клиента, а кто ж дает команду PORT), то это IMHO зря вы - их много (WinRoute первый) Активного FTP-клиента из-за NAT не бывает. Даже под WinRout'ом. Прошу учесть, что я имею в виду именно NAT, а не связку NAT+firewall или NAT+proxy, все вместе или что-то еще. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 18:56 11-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору SurfKoba Цитата: Прямо сейчас я тяну FlashFXP-ом в mode Active w2k3 server. Медицинский факт.   Ну и что? Ты же, судя по твоим предыдущим постам, грамотный человек и должен понимать, что такое NAT, в деталях. Допустим, ты не включил опцию "Exclude this computer from NAT" в настройках внешнего интерфейса своего WinRoute и твой компьютер имеет реальный адрес А. TCP/IP стек твоих форточек ничего не знает про WinRoute, сидящий на более низком уровне. Ты выходишь со своего ftp-клиента на внешний сервер, имеющий адрес Б. Что при этом происходит? (Я буду писать почти отфонарные номера портов через двоеточие после адреса, как мы привыкли это делать) Клиент пытается открыть соединение с ftp-сервером (cамо-собой, что клиент выберет в качестве исходного адреса адрес из подсети со шлюзом к серверу, т.е. это будет твой реальный адрес А -- это замечание необходимо в случае, если у тебя в машине несколько сетевых интерфейсов): А:1234 -> Б:21. В этот момент в игру вступает твой NAT -- запоминает исходный сокет А:1234 и заменяет его своим, а т.к. дело происходит на той же самой машине, то IP адрес тот же -- А, т.е. далее соединение выглядит следующим образом: А:2345 -> Б:21. Все ответы с Б:21 на адрес А:2345 NAT переправляет на исходный А:1234. Ничего необычного. Но вот тут твой клиент открывает соединение данных, т.е. он сообщает серверу Б, что ждет от него соединения на сокете А:3456. В этот момент инициатором соединения выступает уже сервер Б, т.е. соединение будет следующим: Б:20 -> А:3456. Т.к. это соединение инициировано сервером Б, его нет в таблице трансляции. В этом случае WinRoute просто отдает его выше в стек TCP/IP (для простоты примем, что firewall вообще отключен, т.е. ничего не фильтруется), где его уже ждет твой FTP-клиент, т.е. "NAT наоборот" не происходит. Если бы ты пытался использовать активную ftp сессию не с того же компьютера, где установлен WinRoute, а с любого другого за ним, у тебя бы ничего не вышло. Тоже медицинский факт. Таким образом я вообще не понимаю зачем нужна та опция в настройках WinRoute, что я привел в начале своего сообщения. Хотя может и нужна для чего-то... Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 21:35 11-04-2003

TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: Во-первых, TechSup не говорил, что у него стоит PIX...   Да, у него @guard       Кстати по-сабжу (а то я в постах SurfKoba и ooptimum понимаю максимум пару слов из предложания ) Почитав хэлп к Serv-U я открыл для себя очень интересны и новые вещи: В настройках Serv-U оказалось можно задать прямым путём какие порты он будет отдавать в пассивном режиме. По-дефолту там стояло 1024-65535. Так вот этот дипазон можно менять. Причём делается это на стороне сервера, а не клиента как я думал раньше. Т.е. при работе в пассивном режиме сервер отсылает клиенту диапазон портов (который можно настроить) в котором они будут между собой общаться. Во как!   ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 22:28 11-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору TechSup Цитата: а то я в постах SurfKoba и ooptimum понимаю максимум пару слов из предложания   Цитата: при работе в пассивном режиме сервер отсылает клиенту диапазон портов (который можно настроить) в котором они будут между собой общаться.   Небольшая поправка -- в пассивном режиме сервер отсылает клиенту сокет (адрес+порт), на котором он ждет соединения со стороны данного клиента, а не диапазон портов. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 23:43 11-04-2003 | Исправлено: ooptimum, 23:44 11-04-2003

TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: в пассивном режиме сервер отсылает клиенту сокет (адрес+порт), на котором он ждет соединения со стороны данного клиента, а не диапазон портов.   Ну ваще! ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 00:17 12-04-2003

Dieduks Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TechSup Цитата: В смысле осла я имел ввиду IE   Так тамже можно ( у тех кто заходят к тебе ) в IE отключить пассивный режим и все. ---------- Ваш IP Всего записей: 555 | Зарегистр. 04-06-2002 | Отправлено: 04:29 12-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ooptimum Я говорю не о персональных файрволах, а именно о файрволах которые ставятся на брандмауэры. Я не согласен что надо на брандмауэе все открыть и ставить на каждую клиентскую тачку персональные файрволы. Это глупость и утопия.     Добавлено TechSup Цитата: Ну ваще!   Ты это к чему?   ooptimum сказал все правильно -   Цитата: в пассивном режиме сервер отсылает клиенту сокет (адрес+порт), на котором он ждет соединения со стороны данного клиента, а не диапазон портов.   Естественно что порт выбирается из диапазона, но он (порт) один! Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 10:05 12-04-2003

TechSup Интеллигент™ Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору UncoNNecteD Цитата: Ты это к чему?   ooptimum сказал все правильно   Это я так выражаю своё восхищение и благодарность ---------- Россия будет свободной! Всего записей: 4763 | Зарегистр. 27-08-2001 | Отправлено: 13:06 12-04-2003

SurfKoba Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TechSup   Надеюсь, что для вас полезное зерно в дискуссии таки было: для того чтобы раздавать activ FTP - 21 in/out port > 1024 + 20 out port >1024; passv FTP - 21 in/out port > 1024 + не помню точно, но по моему у @guard-а были рулзы для application соответственно, serv-U разрешить inp c портов > 1024 на тот диапазон портов который вы указали в настройках Serv-U. (Могу где нибудь хомутнуть с номерами портов plz г-да ooptimum и UncoNNecteD проверьте)   ooptimum Все правильно вы излагаете, но Цитата: Если бы ты пытался использовать активную ftp сессию не с того же компьютера, где установлен WinRoute, а с любого другого за ним, у тебя бы ничего не вышло. Тоже медицинский факт. WinRoute стоит в нашей виндовой сетке на gateway-е, а никак не на моей машине которая понятно не обладает ни каким реал ip.   Единственно, против чего точно буду протестовать, это я по ходу дисскусии стал певцом Winroute, так это не так : софтинки более похабно обращающейся с win стеком я не знаю, более того вот сквозь него passv FTP (не смотря на заверения производителя) настроить не удалось (проблема с руками IMHO тоже возможна). И, собственно, почему UncoNNecteD молчит, уж он то в преддверии сертификации, наверное мог привести пример файрволла, нормально поддерживающего passv FTP.   PS выше IMHO я привел линки из которых следует, что это возможно и поддерживается, повторюсь что с NAT IPSec-а проблем, из-за того проверяется целостность пакета, на порядок больше. Всего записей: 802 | Зарегистр. 22-10-2002 | Отправлено: 13:18 12-04-2003 | Исправлено: SurfKoba, 13:20 12-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ну пример я привел, из CISCO это именно PIX Firewall. Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 17:43 12-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD Цитата: Я говорю не о персональных файрволах, а именно о файрволах которые ставятся на брандмауэры. Если мы решали проблему TechSup, то у него именно персональный файрвол. Цитата: Я не согласен что надо на брандмауэе все открыть Ну ты можешь все закрыть, но толку от того чуть. Я говорю именно про те порты на внешнем интерфейсе машины с файрволом, на которых не висят никакие сервисы/демоны в диапазоне номеров >1023. Цитата: и ставить на каждую клиентскую тачку персональные файрволы. Это глупость и утопия. Конечно глупость и утопия. А где я писал, что надо пользоваться персональными файрволами в сети, защищенной корпоративным файрволом? К чему ты это вообще написал?   SurfKoba Цитата: WinRoute стоит в нашей виндовой сетке на gateway-е, а никак не на моей машине которая понятно не обладает ни каким реал ip.   ... сквозь него passv FTP (не смотря на заверения производителя) настроить не удалось (проблема с руками IMHO тоже возможна). Я еще раз утверждаю, что ftp-клиент не может работать в активном режиме в тех условиях, которые ты описываешь. Т.е. через NAT, а не прокси в WinRoute. Я писал свои собственные telnet и ftp сервера и знаю про эти протоколы если не все, то очень многое. Ты в чем-то заблуждаешься. Попробую объяснить еще раз, почему это невозможно. Все твои локальные ftp клиенты видны внешнему ftp серверу как имеющие адрес внешнего интерфейса твоего шлюза из локалки в Интернет. В активном режиме соединение данных (c порта 20) инициируется ftp сервером. Само-собой, что это соединение он устанавливает с тем адресом, на котором он видит клиента, т.е. с твоим шлюзом, на котором стоит NAT. Записи о этом соединении в таблице трансляции нет, ибо оно инициировано извне. Так что делать твоему шлюзу с этим соединением, раз нет такой записи и нет переадресации портов? Как он может догадаться куда он должен перенаправить эти пакеты? Твой клиент никогда не дождется соединения данных с ftp сервера, потому что WinRoute просто не знает, что ему делать с этим соединением, т.к. он не знает кто его ждет.   Kizalcoatl Цитата: Я позволю себе согласится с UncoNNecteD.. Ты знаешь, я тоже. Бо я никогда не утверждал того, с чем он позволяет себе не соглашаться.   Цитата: Сдается мнеooptimum малость поторопился... исходить надо из худшего.. в конце концов не буду доказывать - RTFM...   Хотя может он просто неутомимый оптимист   С чем я поторопился, коллега? И какую TFM ты предлагаешь мне R? Я оптимист. Но я многознающий оптимист. Т.е. на самом деле я пессимист. Те, кто следили за моими постами в течение некоторого времени, наверняка заметили это. Тот же UncoNNecteD наверное... Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 23:52 12-04-2003

DiCH IRC-маньяк... Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TechSup Я эту же проблему решил разрешением на выполнение любых действий Serv-U в политике файрволла. Всего записей: 965 | Зарегистр. 13-09-2001 | Отправлено: 01:18 13-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ooptimum Цитата: Если мы решали проблему TechSup, то у него именно персональный файрвол. Ты пролистай свои посты! Ты первый перевел речь на брандмауэры! Цитата: Ну ты можешь все закрыть, но толку от того чуть. Я говорю именно про те порты на внешнем интерфейсе машины с файрволом, на которых не висят никакие сервисы/демоны в диапазоне номеров >1023.   Цитата: А где я писал, что надо пользоваться персональными файрволами в сети, защищенной корпоративным файрволом?   Ну примерно тут.... Цитата: Если ты настаиваешь на том, что надо закрывать все порты, то я настаиваю на том, что это имеет смысл только для защиты машины на которой, собственно, этот брендмауэр и установлен, т.е. в подавляющем большинстве случаев это наверняка будет какой-то personal firewall на машине конечного пользователя Может ты просто путаешься в терминах?   Добавлено А TechSup'у надо просто воспользоватся преимуществом персонального файрвола распозновать приложение активизируещее сокет. ---------- -= Я тут чертовски давно =- Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 13:59 13-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD Цитата: Ты пролистай свои посты! Ты первый перевел речь на брандмауэры! Cool down, buddy. Брандмауэр и файрвол -- это одно и то же, но на разных языках. Просто я предпочитаю пользоваться теми терминами, которым есть аналоги в русском языке, который люблю и уважаю. Т.е. вместо "роутер" я говорю "маршрутизатор", вместо "свитч" я говорю "коммутатор", вместо "файрвол" я говорю "брандмауэр". Просто так сложилось, что в русском языке много заимствований из немецкого, к которым мы давно привыкли, те же "вокзал", "тарелка" или хотя бы "брандмейстер", так зачем менять их на что-то еще? Ведь ты не говоришь "диш" вместо "тарелка", да?   Цитата: Ну примерно тут.... Перевожу с русского на понятный. В приведенной тобой цитате речь шла о том, что нет большого смысла закрывать неиспользуемые порты (#>1023) на корпоративном брандмауэре или, если тебе так угодно, файрволе, потому что это не может быть использовано для вторжения ни в сам компьютер-бастион, ни в защищаемую им сеть. Делать это (закрывать все порты) имеет смысл только на персональном брандмауэре (файрволе), защищающем один компьютер с чайником на борту.   Цитата: Может ты просто путаешься в терминах?   Похоже, что как раз ты путаешься в них.     Добавлено Чтобы предотвратить дальнейшие лингвистические споры, напишу, что все желающие могут убедиться в  справедливости формулы "файрвол=брандмауэр" пойдя по ссылке http://lingvo.yandex.ru/cgi-bin/lingvo.pl?text=firewall . Для ленивых привожу ту же информацию здесь. Цитата:   firewall  (Словарь: Компьютерный англ.)        брандмауэр (аппаратно-программные средства межсетевой защиты)   Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 14:42 13-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: аппаратно-программные средства межсетевой защиты Хех, это типа коробочки с кнопочкой которая отрубает все 4 пары у юзера? Где ты видел аппаратный метод защиты персонального юзера? Межсетевой?   Короче тут два из трех слова неверны либо не точны. К тому же - это весьма субъективное мнение lingvo.yandex.ru.   Не ты ли вел речь о активных сессиях из-за NAT ? В общем отмазка не принята Брэндмауэр и персональный файрвол это разные вещи. Файрвол и персональный файрвол - тем более.   Цитата: А какая разница, что за брэндмауэром находится? Ты же открываешь порты на нем самом, а не на том, что за ним. Если никто (софт) этот порт (любой) не слушает, то любая попытка на соединение с ним будет отклонена.     Не ожидал, если честно, от тебя такого вопроса...   Цитата: Впрочем, я повторяюсь. Другого решения нет.   Это твои слова? Научись учится новому оптимист, а то дураком помрешь ---------- -= Я тут чертовски давно =- Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 17:13 13-04-2003

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору UncoNNecteD Цитата: Короче тут два из трех слова неверны либо не точны. Слушай, не опускайся до уровня мелочных придирок к формулировкам. Не пытайся исказить суть, как этого можно ожидать от софистов и некоторых представителей некого известного нацменьшинства. Что бы это ни было, термины "файрвол" и  "брандмауэр" обозночают это самое "это" в одинаковой степени, т.к. одно является банальным переводом другого. А уж детали реализации "этого" тут неважны, как тебе не важно, читая перевод слова "dish", какая это тарелка, глубокая или нет, фарфоровая или какая-то иная. Цитата: К тому же - это весьма субъективное мнение lingvo.yandex.ru. Это не их субъективное мнение. Это -- факт, незнание которого ты пытаешься завуалировать. А расшифровку в скобках они дали для той категории людей, для которых русское слово "брандмауэр" говорит не больше, чем "файрвол". Если же тебе слово "файрвол" что-то говорит, то ты тогда должнен быть в состоянии понять, что такое "брандмауэр", коллега, и без их пояснений (несомненно не претендующих на полноту и точность описания термина).   Цитата: Это твои слова? Научись учится новому оптимист, а то дураком помрешь Так, ты либо объясни в чем я был не прав, а то на основании приведенных тобой цитат я не с состоянии этого понять, либо я считаю это безосновательным оскорблением и мы начинаем общаться через модераторов. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 18:42 13-04-2003

UncoNNecteD Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ладно, забей, если ты считаешь что не ошибся в течении дискуссии - считай так и дальше. Ты был прав - пусть будет так. Я сейчас не хочу искать и придиратся к словам, ты сам все понимаешь. Удачи! Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 19:38 13-04-2003

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Диапазон портов для пассивного режима ftp

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование