ooptimum
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
UncoNNecteD
Хорошо, что ты вернулся в русло конструктивной беседы. Okey, давай займемся работой над ошибками.
Цитата: Это ошибка №1. Решения даже два -
1)В случае персонального файрвола на сервере открываются порты именно для приложения-сервера.
2)В случае файрвола на брандмауэре (межсетевом экране) используется интеллектуальный файрвол |
На самом деле я писал:
Цитата:| Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету, такие как M$ SQL, WINS, Radius и т.д. Впрочем, я повторяюсь. Другого решения нет. |
Решение, предложенное мной, -- держать необходимые ftp-серверу порты открытыми. "Другого решения нет" тут относится именно к этой необходимости. А какие порты будут открыты, все или диапазон, -- это уже детали. Я предлагаю не закрывать эти порты вообще, если на них никакие сервисы не ожидают соединения, т.е. они свободны. Ты предлагаешь, как я понимаю, закрыть все и открыть только то, что нужно. Что ж, обе т.з. имеют право на существование и какая будет выбрана -- зависит от обстоятельств. Если бы я знал, что в Serv-U можно задавать диапазон портов, отдаваемых в пассивном режиме, то несомненно смог бы дать более точный совет. Но то, что мой совет был более общим, не значит, что он не верен и не поможет решить проблему. Насчет интеллектуального файрвола -- ты знаешь, мне почему-то сразу пришло в голову, что его файрвол не интеллектуальный, и в итоге так и оказалось. В чем ошибка? Позволю себе напомнить, что мы решали конкретную проблему конкретного человека, а не занимались академическим дискутированием на тему файрволов вообще. И не пиши:
"файрвол на брандмауэре" -- это звучит как "масло масляное". По крайней мере для тех, кто знает, что это одно и то же. 
Цитата:| Это ошибка №2. Ты утверждаешь что я написал ерунду, несмотря на то что это вполне существующий факт! |
"Ты сам-то понимаешь, что написал?" относилось к
Цитата:| Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту |
Смайлик видел после моего вопроса? Этот вопрос никоим образом не затрагивал техническую сторону дискуссии, а относился лишь к синтаксическому стилю твоего предложения, написанного, хоть и по-русски, но забавно. Я думаю, мы не будем обсуждать далее, "работают" или нет какие-то порты "в течении сессии по 21му порту". Далее. Я не утверждал, что ты написал ерунду -- это твои и только твои измышленизмы. Более того, в том же посте я писал
Цитата:| Я допускаю, что это в принципе возможно |
. Даже не зная о существовании таких файрволов, я описал принцип их функционирования и возможные слабости в защите в том же самом посте. Я не знал (и не знаю до сих пор), что PIX имеет такую функциональность, но, с другой стороны, мы и не обсуждали PIX. Верно? Так в чем ошибка?
Цитата: А какая разница, что за брэндмауэром находится?
Ошибка №3.
Это далеко не все равно. Если сетка с адресацией NAT - это один случай, если с реальной - другой, если ничего то третий. |
Ты прав, что во 2м случае есть некая разница, но только в нем. Я знаю о всех этих случаях, но позволю тебе еще раз напомнить, что я говорил о неиспользуемых портах на машине с файрволлом и что мы решали конкретную проблему. Ты же пустился в общие рассуждения типа "что, если ... ?" уже после того, как я дал свой совет, применительный к данном конкретном случае. Так что это далеко не ошибка, коллега. Если же ты хочешь пообсуждать общие фопросы, связанные с защитой вообще и файрволами в частности, что ж, я буду рад.
Цитата:| Ошибка №4. Мы говорили о сервере FTP за фарволом, ты вдруг перескакиваешь на сетку с локальной адресацией - там не может быть локальной адресации если стоит passive FTP server. |
Нет, в данном случае мы говорили не о ftp за файрволом. На мое утверждение о том, что нет необходимости закрывать на машине с файрволом все неиспользуемые порты ты написал:
Цитата: Большая разница.
Ведь ты прописываешь на нем всю защиту сети - если ты хочешь защитить свою сеть как минимум от троянов сидящих на произвольном порту - ты должен их закрыть. |
Про сеть заговорил ты. Я же тебе показал на воображаемом примере, что даже имея троянов в локалке с локальными адресами и файрвол с открытыми портами, ты не сумеешь этими троянами воспользоваться снаружи. В общем, та цитата, которую ты привел. По-моему, там не моя ошибка присутствует, а присутствует твое желание подтасовать факты, коллега, с целью очернить мою репутацию. Честно признайся, червячок грызет, да? Как же, ведь иначе можно подумать, что задета твоя. 
Цитата:| Ошибка 5. Отнюдь не useless, ты просто не работал в сетях публичного доступа где за каждым портом надо следить и адресация внутри сети далеко не локальная (например за файрволом стоит площадка серверов). |
Откуда ты знаешь, где я работал, а где нет, коллега? Да, не прав в общем случае, порты могут быть usefull не предмет соединения в твоем сценарии. Но даже в нем, если сервера за файрволом не твои, то ты вряд ли закроешь все порты. Иначе их хозяева застявят тебя каждый раз открывать те из них, которые им нужны. И однажды это надоест либо им, либо тебе, и ты все равно откроешь все. А если за файрволом сетка с локальной адресацией, то эти порты useless. Так согласен?
Цитата:| Еще твои ошибки это считание себя самого "гуро" для себя самого и хвалится (маскироваться) собственным стажем работы в сетях |
Если по правде, то гуру меня считает очень большое число народу. Завтра я попрошу некоторых написать тебе об этом, раз ты сомневаешься. А стаж у меня действительно большой. И опыт тоже. Потому что это не только моя работа, а еще и главное увлечение всей моей жизни. И я писал по сколько времени я провожу за компьютерами ежедневно. Уверяю тебя, я трачу его не на чаты с порно. Почему мне надо это скрывать? Из ложной скромности? Не уверен. Я работаю в очень крупной международной организации, так вот, там не скрывают таких вещей, и если ты специалист, то ты можешь об этом прямо так и заявлять везде. А вот какой стаж у тебя? Только не надо снова этого бреда про водителей.
|
Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 23:05 13-04-2003 | Исправлено: ooptimum, 23:20 13-04-2003 |
|
