» FTP и WinRoute

ooptimum

Цитата:

Ну дак напиши тогда разработчикам WinRoute, чтобы им тоже очевидно стало

Угу. Посоветуй им еще денег дать

Цитата:

Согласись, что вообще работа с FTP напрямую -- суть нарушение той же секьюрности.

?? В плане передачи логинов/паролей открытым текстом? Разъясни, если не влом.

Цитата:

Используй прокси -- вот ответ по поводу секьюрности, если тебя так заботят открытые на выход порты

Если вспомнить определение "порокси", то что есть Винроут, как не ЭТО? А открытые порты - да, заботят. Не хочет, ру-блин-ководство, чтобы юзеры тянули POP3 с "внешних" серверов, для примера. Ну, и еще есть чудеса...

Sadok

Цитата:

В плане передачи логинов/паролей открытым текстом? Разъясни, если не влом.

Да нет, пароли в любом случае будут так передаваться, что клиентом, что прокси -- без разницы. На самом деле, говоря о нарушении безопасности, я имел виду не угрозу проникновения извне в твою сеть или нечто подобное, а возможность нанести некий вред злоумышленником, находящимся внутри защищаемой сети. Например, это еще один способ украсть конфиденциальную информацию. И т.д. и т.п.

Цитата:

Если вспомнить определение "порокси", то что есть Винроут, как не ЭТО?

WinRoute -- это HTTP_FTP_XYZ_прокси + брандмауэр + NAT + портмэппер + DNS-кэшсервер + DHCPD + Email + не_помню_что_еще. Изначально речь в этом топике шла про NAT. Я же написал, что если работа с FTP через NAT для тебя проблематична по тем или иным причинам (конретно -- из-за открытых "верхних" портов), то работай через прокси.

Цитата:

А открытые порты - да, заботят. Не хочет, ру-блин-ководство, чтобы юзеры тянули POP3 с "внешних" серверов, для примера.

Ты забыл номер порта POP3? Неужели его так трудно заблокировать? Не говоря уже о том, что он имеет номер уж никак не подпадающий под диапазон, используемый FTP-серверами для пассивных соединений. Впрочем, все это уже флейм давно...

ooptimum

Цитата:

возможность нанести некий вред злоумышленником, находящимся внутри защищаемой сети

Ну, ёлки... Тут уж новый топик надо поднимать С заголовком "Против лома нет приёма".

Цитата:

Ты забыл номер порта POP3?

Иронию понимаю и приветствую Ну, вот... как в армии: "я не знаю, как это делается, но вы это делаете не правильно". Это ж нормальное желание русского сисадмина: воткнул и оно само пашет (+ кряк)
ПЫС: похоже, мы съезжаем с темы.

Ну уж раз разговор зашел о безопасности FTP + WinRoute, то может быть тогда и по фильтру пакетов можно будет обсудить вопрос? Т.е. что открыть и что закрыть в различных случаях. Например вариант №1, когда FTP стоит на клиентской машине за прокси и вариант №2, когда FTP стоит на машине с прокси?
Я почему спрашиваю? Потому что у меня в фильтре пакетов с каждым днем становится бардак, а это ИМХО не есть гут
Надо наводить порядок, но знаний и опыта в этом вопросе не много

vworld

Цитата:

Т.е. что открыть и что закрыть в различных случаях

Случаи идентичные (если не подразумевается свой фтп-серврер, нужный для доступа и из локалки, и из вне). Мне пришлось "соорудить" такую схему в traffic policy: Локалка -> Список ip разрешенных к доступу внешних фтп-сервреров -> Открыт 21 порт и диапазон 1024-65000 -> "разреить" -> Включить НАТ.

Sadok
А настройки у народа, который ко мне хочет на FTP подключиться? В плане на FTP-клиентах.

vworld

Цитата:

А настройки у народа, который ко мне хочет на FTP подключиться?

Использовать пассивный режим

Sadok
Я про то, что у меня нет доменного имени и вот хочу, чтобы товарищь ко мне зашел, так ему что писать в настройках FTPклиента? Мой IP? Или что?

vworld
если у тебя
Цитата:

нет доменного имени

, то очевидно нужно

Цитата:

писать в настройках FTPклиента

Цитата:

Мой IP

а что ещё там можно писать?

all
народ, я не понимаю, что означает открыть порты
Цитата:

диапазон 1024-65000

??? на фаерволить их? или что?

lek

Цитата:

а что ещё там можно писать?

Ну а если у меня например не реальный статический IP? Т.е. может и не так у меня сомнения есть у меня на этот счет...
Так как тогда быть? Обращаться по моему внешнему Ip народу в инете?

vworld

Цитата:

Ну а если у меня например не реальный статический IP?

то есть ты за натом? тогда ничего не поможет, кроме как на твоём нате
Цитата:

Настроить port mapping

Цитата:

сомнения есть у меня на этот счет...

посмотри свой ип-адрес. хотя тут тоже могут быть варианты...

lek
WinRoute смотрит в инет, соответственного у него 2 интерфейса, на одном (который в инет) стоит внешний IP, на др. (внутрь сети) соответственно внутренняя адресация, так вот FTP сервер (Serv-U) стоит на клиентской машине внутри сети...
Просил товарища чтобы попробовал подконнектится по внешнему IP не идет...
Так что может кто пробовал мой случай реализовать в своей сети - поделитесь реальным опытом...

Добавлено
Вот например, что в руководстве о моем случае...

Установка FTP-сервера в зоне, обслуживаемой механизмом NAT
Чтобы установить FTP-сервер в зоне, обслуживаемой механизмом NAT, выполните следующие настройки:

1. Войдите в меню Настройки ->Дополнительно ->Распределение портов
2. Добавьте новую схему распределения портов:

Протокол: TCP

Ожидание сигнала по IP: не указывать адреса вообще, либо указать IP-адрес, ассоциированный с доменом и одновременно с Интернет-интерфейсом

Прослушивание порта: 21

IP-адрес адресата: введите IP-адрес FTP-сервера (например,192.168.1.10)

Порт адресата: 21

У меня так и настроено, но народ не може пройти ко мне указывая для коннекта мой внешний Ip...

vworld А ты ФИЛЬТР ПАКЕТОВ настраивал? Создай Правило для внешней сетевухи
Цитата:

Предоставление доступа к Вашему FTP-серверу с определенных адресов из Интернета:
Вкладка "Входящие"
Протокол: TCP
IP-адрес отправителя - любой
IP адресата - адрес FTP-сервера
Порт отправителя - любой
Порт адресата - 21

Andy

Цитата:

А ты ФИЛЬТР ПАКЕТОВ настраивал? Создай Правило для внешней сетевухи

Ну так наверное, зачем бы тогда писал.
Товарищь вот коннектится на внешний мой IP, а у него дело даже до запроса логина\пароля не доходит, видимо он не проходит в локалку на фтп мой?

vworld Я так понимаю, что ты делал как ниже указано
Цитата:

Чтобы подключиться к Интернету, выполните следующие действия:
1.Войдите в меню Настройки->Таблица интерфейсов
2.Выбрав сетевой адаптер для подключения к Интернету, нажмите на его "Свойства" и АКТИВИЗИРУЙТЕ параметр "Преобразовывать IP-адреса этого интерфейса во всех cлучаях установки связи". Открыв диалоговое окно настройки интерфейса, Вы увидите, что механизм NAT для данной внешней линии активизирован.
3.Убедитесь, что механизм преобразования сетевых адресов (NAT) НЕ АКТИВИЗИРОВАН для интерфейса, обслуживающего подключение к внутренней линии (проверьте его свойства по Таблице интерфейсов).
4.Проверьте свойства TCP/IP-протокола внутреннего сетевого адаптера (для этого откройте экран сетевых настроек). Шлюз по умолчанию НЕ должен быть назначен, а для адаптера должен быть введен свой внутренний IP-адрес.
5.Проверьте заполнение сведений о подключении сетевого адаптера к Интернету данными, предоставленными Вашим провайдером. Если IP-адреса назначаются при подключении динамически, оставьте эти настройки незаполненными

Добавлено
А без WinRoute товарищ к тебе заходит без проблем?

Добавлено
Кстати, у меня дома после инсталляции, NAT на внешней и внутренней карточке по умолчанию был включен наоборот.

Andy

Цитата:

А без WinRoute товарищ к тебе заходит без проблем?

Это ИМХО вообще невозможно, т.к. ему надо коннектится на машинку. которая внутри сети, а если вырубить WR, то инет упадет...

Цитата:

Кстати, у меня дома после инсталляции, NAT на внешней и внутренней карточке по умолчанию был включен наоборот

Возможно так оно у тебя и было, но у меня преобразование адресов стоит только на внешнем интерфейсе