Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Обход правил iptables с использованием модулей трекинга FTP-..., opennews (?), 27-Дек-09, (0) [смотреть все] как вариант перед -m state --state ESTABLISHED,RELATED -j ACCEPT добавить прав, ро (?), 20:20 , 27-Дек-09, (1) +1 // iptables -A INPUT -p tcp -m helper --helper ftp -p tcp --dport 1024 4096 -j DR, ро (?), 11:47 , 28-Дек-09, (24) // А модуль открывает _только соединения с --sport 20 ему нельзя сказать, чтобы о, Evgeniy (??), 03:04 , 30-Дек-09, (59) // в активном ftp дата-коннект всегда идет с 20 порта, ро (?), 11:25 , 30-Дек-09, (71) это я знаю Вопрос в том, нет ли в том модуле дыры, позволяющей не с 20-го 8- , Evgeniy (??), 19:26 , 30-Дек-09, (81) Не в тему, но хорошо бы pf на линукс портировать , mitya (ok), 20:58 , 27-Дек-09, (2) –6 // вот именно, не в тему pf тут нафиг не нужен , i (??), 08:51 , 28-Дек-09, (16) Не понятно при чем тут вообще pf Действительно не в тему , User294 (ok), 10:18 , 28-Дек-09, (19) FTP вообще давно пора запретить , аноним (?), 21:03 , 27-Дек-09, (3) +1 // Действительно, удивительно дебильно сделанный протокол , User294 (ok), 10:19 , 28-Дек-09, (20) +1 Це троян Причем тут айпитаблес , Ъ (?), 21:35 , 27-Дек-09, (4)   // При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт, Аноним (-), 21:55 , 27-Дек-09, (5) –1   // Заменяем iptables на pf, а nf_conntrack_ftp на ftp-proxy и получаем совершенно а, аноним (?), 22:41 , 27-Дек-09, (6)   // Вот именно Вообще непонятно, в чём новость Это документированная всем известна, Просто Лось. (?), 23:40 , 27-Дек-09, (7) +1   Насколько я понял, проблема именно в conntrack_ftp модуле iptables, которые не о, Антон (??), 09:54 , 28-Дек-09, (17) +1   Резюмирую, чтобы меня правильно поняли через FTP такая возможность остается, но, Антон (??), 10:02 , 28-Дек-09, (18) +1   либо вы не мыслите логически, либо читали статью по диагонали скрипт как раз нуж, ро (?), 10:36 , 28-Дек-09, (22)   Вы правы, в примере fake-server py запускается на 21 порту, web-скрипт лишь выст, Антон (??), 12:23 , 28-Дек-09, (25)   Издеваетесь Проблема в дебильной логике работы FTP протокола - айпитаблес вынуж, User294 (ok), 10:26 , 28-Дек-09, (21)   // Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить Для, Ъ (?), 18:54 , 28-Дек-09, (31)   // Я бы сказал, он феноменален по дебильности и архаичности его устройства Ну, в 1, User294 (ok), 10:31 , 29-Дек-09, (37)   smb nfs ssh люстры с похмельем А насчет изобретения очередного велосипеда, , Ъ (?), 11:42 , 29-Дек-09, (39)   Не нужна неуязвимая система Нужна система с авторизачией отправителя, позволяющ, Demo (??), 13:39 , 29-Дек-09, (40)   Проблема в том, что на 95 спам рассылается ботнетами, от обычных пользователей,, Ъ (?), 19:21 , 29-Дек-09, (47)   Можно привести пример немного из другой оперы Часто получаете спам на джаббер А , XoRe (ok), 00:32 , 30-Дек-09, (56)   Думать не о чем - отключались головы ботнетов которые хостились в этих ДЦ Вск, аноним (?), 05:03 , 30-Дек-09, (62)   gt оверквотинг удален Мой jabber не публичен, а другими im практически не поль, Ъ (?), 07:35 , 30-Дек-09, (63)   Я имею в виду, в клиенте включить Не на сервере Опять же, в клиенте, не на серве, XoRe (ok), 10:32 , 30-Дек-09, (65)   Как вы себе это представляете, У вас новое письмо, отгадайте загадку для его по, Ъ (?), 13:46 , 30-Дек-09, (74)   Для рассылки большому количеству абоннтов есть server-side списки рассылки с под, Demo (??), 11:30 , 30-Дек-09, (72)   Представьте что вы работаете в телекоме, раз в месяц вам необходимо разослать сч, Ъ (?), 14:08 , 30-Дек-09, (75)   Я же сказал список рассылки по подписке Не нужно юродствовать Так чтобы короче, Demo (??), 16:03 , 30-Дек-09, (78)   Что это такое Желательно с ссылкой на RFC Такие бедная контора, что не может на, Ъ (?), 16:43 , 30-Дек-09, (79)   При авторизации отправителя совсем незачем блеклистить весь сервер, т к доподл, Demo (??), 01:05 , 31-Дек-09, (82)   Знаете надоело То вам SMTP не нравится, то оказывается что оно ничего То вы, Ъ (?), 05:52 , 31-Дек-09, (83)   Да Надоело объяснять принципы функционирования STANAG 4066 Annex E, XMPP, ACP 1, Demo (??), 11:46 , 31-Дек-09, (84)   Так я в исходном посте как-раз и утверждаю, что нет необходимости в строительств, Demo (??), 11:14 , 30-Дек-09, (70)   В локалке -- да Для вебсайтик залить -- да, rsync -e ssh -- лучше не придумать, Michael Shigorin (ok), 17:45 , 29-Дек-09, (44)   Согласен Опять же Не, де факто сетевые файловые системы, вполне сравнимые с nfs , Ъ (?), 19:23 , 29-Дек-09, (48)   9P рулитhttp ru wikipedia org wiki 9P, andr.mobi (??), 10:43 , 30-Дек-09, (69)   Что значит нечем Для чего нечем Для раздачи файлов от маленьких до больших - H, аноним (?), 15:55 , 29-Дек-09, (41)   Отлично, осталось сделать только чтобы та самая пресловутая домохозяйка могла по, Ъ (?), 19:34 , 29-Дек-09, (49)   Пресловутая домохозяйка FTP для закачки не пользуется по определению Для скачки, аноним (?), 15:31 , 30-Дек-09, (77)   Как же она файлами то обменивается У SFTP скорость меньше полных 100MBit у меня , Ъ (?), 17:44 , 30-Дек-09, (80)   Вообще-то вовсю используются HTTP который далеко не замена, но для основной цел, Michael Shigorin (ok), 17:39 , 29-Дек-09, (43)   Ну собственно вы сами все написали , Ъ (?), 19:36 , 29-Дек-09, (50)   sftp всмысле ftp over ssh я вообще ftp не пользуюсь, ибо дырень та еще, а вот ф, Andrew (??), 03:40 , 09-Янв-10, (85)   Я вот только одного нефкурю, как обычный юзер получит доступ к conntrac_ модулям, pavlinux (ok), 00:09 , 28-Дек-09, (8) // Сразу же как их включит на гейте админ А он их включит сразу же как начнут жало, demon (??), 00:14 , 28-Дек-09, (10) // Ладно, почему состояние сети, протокола, пакета, влияет на настройку Ладно , pavlinux (ok), 02:42 , 28-Дек-09, (12) // Команды тут не причем, для гейта пакеты вполне нормальные, скрипт просто игнорир, Gra2k (ok), 03:13 , 28-Дек-09, (13) Вообще я заметил модную тенденцию в P2P сетях ed2k mule, torrent некоторые о, User294 (ok), 10:37 , 29-Дек-09, (38) В torrent е с нулём на конце тогда это мюТоррент делает, из-за ошибки в реализ, Аноним (-), 19:10 , 29-Дек-09, (46) Обычно этот по дефолту есть Чтобы ФТП работал , User294 (ok), 10:59 , 28-Дек-09, (23) Предлагаю для ясности убрать из заголовка слово iptables, Аноним (-), 00:13 , 28-Дек-09, (9) +2 Набор правил написанных невежей, следует блочить порты 49151 , вот если бы был , Gra2k (ok), 03:23 , 28-Дек-09, (14) // Дык проблема известная была то, только почему-то не думал никто о ней Решение та, Аноним (-), 05:42 , 28-Дек-09, (15) frox - прозрачный прокси-сервер для FTP, Touch (??), 14:13 , 28-Дек-09, (26) Есть идеи, как с этим бороться Я говорю про линукс в дешевых роутерах На сервера, XoRe (ok), 14:29 , 28-Дек-09, (27) // поставить открытую прошивку, например openwrt и настроить iptables , ро (?), 16:13 , 29-Дек-09, (42) // Вариант, согласен Правда, не для всех роутеров есть открытые прошивки Плюс есть , XoRe (ok), 10:36 , 30-Дек-09, (66) Да, кстати Попробую популярно объяснить, что это такое Юзер заходит браузером на, XoRe (ok), 15:06 , 28-Дек-09, (28) +3 // А брандмауэр виндовс разве не пропустит это соединение Оно же было инициирован, Huko (?), 15:42 , 28-Дек-09, (29) // Если по простому, скрипт просит сервера подключиться к нему на 445 порт Сам он у, XoRe (ok), 21:52 , 28-Дек-09, (34) Ну в домашних роутерах еще в добавок часто включен upnp, так что , Аноним (-), 16:39 , 28-Дек-09, (30) // Да вообще NAT с такими приколами - вообще не защищает , XoRe (ok), 23:05 , 28-Дек-09, (35) // Вроде нат и не для защиты нужен , const86 (ok), 18:26 , 29-Дек-09, (45) менять железки на wrt - поддерживаемые это приколы мелких коробок Закрывать, Evgeniy (??), 01:58 , 30-Дек-09, (58) А можно отрубать команду PORT, или поменять PORT на PASV , pavlinux (ok), 04:51 , 30-Дек-09, (61) А вообще ощущение, что чувак прочитал википедию Специально для работы FTP прото, Ъ (?), 20:21 , 28-Дек-09, (32) // gt оверквотинг удален проблема не только в ftp Кроме того, если раньше невозмо, Аноним (-), 05:36 , 29-Дек-09, (36) // gt оверквотинг удален С помощью товарища браузера это можно делать очень давно, Ъ (?), 19:43 , 29-Дек-09, (51) // Эх, было б ещё смешней, если б не так грустно , Michael Shigorin (ok), 21:42 , 29-Дек-09, (53) А это приколы мелких коробок Помнишь, мы как-то давно про это говорили Закрыва, Evgeniy (??), 01:56 , 30-Дек-09, (57) Но, блин, в прошивке ж есть еще пачка всяких тамhttp svn dd-wrt com 8000 dd-wr, Evgeniy (??), 03:16 , 30-Дек-09, (60) Клиент говорит серверу подключись ко мне на 445 порт Роутер клиента делает вре, XoRe (ok), 00:19 , 30-Дек-09, (54) Я подумал в сторону http secunia com advisories search search firefox сотовар, Michael Shigorin (ok), 00:25 , 30-Дек-09, (55) С одной стороны да С другой не вижу в сети массовых эпидемий, связанных с уяз, XoRe (ok), 10:41 , 30-Дек-09, (67) Что припоминалось -- точно не вспомню, но http google com search q firefox vu, Michael Shigorin (ok), 12:14 , 30-Дек-09, (73) Вариант без ftp Клиент соединяется с любого возможного порта, по любому возмо, Ъ (?), 07:50 , 30-Дек-09, (64) gt оверквотинг удален Это вариант без FTP А для варианта с FTP нужно использов, XoRe (ok), 10:41 , 30-Дек-09, (68) Если у вас завелся зверек, то уже c ftp он или нет не имеет значения В любом сл, Ъ (?), 14:13 , 30-Дек-09, (76) интересно скайп этим тоже пользуется , JL2001 (ok), 21:36 , 28-Дек-09, (33) // Нет Но он является отличным примером беспомощности межсетевого экранирования , Ъ (?), 19:47 , 29-Дек-09, (52) нет, но в атаке на Чайна Гугль - было аналогично Скайпу p s автор материала - ка, Basiley (ok), 22:00 , 19-Янв-10, (86) 1,2,3,4,8,9,14,26,27,28,32,33

Сообщения

[Сортировка по времени | RSS]

4. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
Сообщение от Ъ (?), 27-Дек-09, 21:35
>Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. Це троян. Причем тут айпитаблес.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Обход правил iptables с использованием модулей трекинга FTP-..."	–1 +/–
	Сообщение от Аноним (-), 27-Дек-09, 21:55
	>>Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. > >Це троян. Причем тут айпитаблес. При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от аноним (?), 27-Дек-09, 22:41
	>При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables. Заменяем iptables на pf, а nf_conntrack_ftp на ftp-proxy и получаем совершенно аналогичный эффект. Так что конкретный фаервол тут не при чем.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Обход правил iptables с использованием модулей трекинга FTP-..."	+1 +/–
	Сообщение от Просто Лось. (?), 27-Дек-09, 23:40
	Вот именно. Вообще непонятно, в чём новость. Это документированная всем известная фича. Все правила всегда пишутся с учётом этих вещей. Даже примеров использования этой фичи в инете море (навскидку, вспоминается статья во phrack скольки-то летней давности на примере трекинга IRC-протокола).
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Обход правил iptables с использованием модулей трекинга FTP-..."	+1 +/–
	Сообщение от Антон (??), 28-Дек-09, 09:54
	Насколько я понял, проблема именно в conntrack_ftp модуле iptables, которые не отслеживает всю цепочку при инициировании активного соединения. Одно дело когда соединиться на произвольный порт можно только после обращения к FTP, другое дело - после обращения к web-скрипту. Conntrack_ftp должен позволять выполнять обратные PORT команды только для хостов к которым до этого в течение нескольких секунд было _успешное_ обращение по 21 и только 21 порту (conntrack модуль должен отследить, что команда PORT выполнена именно в этом соединении, т.е. поймали в потоке для FTP сессии PORT x,x,x,x,y,z и разрешаем только эти "x,x,x,x,y,z"). Также conntrack_ftp не должен давать через PORT соединяться на системные номера портов ( < 1024). Поэтому, IMHO, это самая настоящая уязвимость, вызванная недальновидностью разработчиков conntrack модулей, которые не достаточно плотно вгрызаются в логику транслируемых сессий.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Обход правил iptables с использованием модулей трекинга FTP-..."	+1 +/–
	Сообщение от Антон (??), 28-Дек-09, 10:02
	Резюмирую, чтобы меня правильно поняли: через FTP такая возможность остается, но проблема именно в том, что такое сейчас можно сделать через web. Вынудить пользователя открыть web-страницу - элементарно. Заманить пользователя на FTP и выполнить нужную PORT команду - нереально.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от ро (?), 28-Дек-09, 10:36
	либо вы не мыслите логически, либо читали статью по диагонали. скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт клиента (если конечно правилами iptables это не запрещено).
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	25. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Антон (??), 28-Дек-09, 12:23
	>скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить >PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт >клиента (если конечно правилами iptables это не запрещено). Вы правы, в примере fake-server.py запускается на 21 порту, web-скрипт лишь выступает в роли ftp-клиента.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от User294 (ok), 28-Дек-09, 10:26
	>Це троян. Причем тут айпитаблес. Издеваетесь? Проблема в дебильной логике работы FTP протокола - айпитаблес вынужден отслеживать FTP сессии и динамически открывать для них порты. На самом деле - при таком паскудстве можно считать что фаера почти нет: Если хоть как-то удастся убедить ремотного юзера изобразить нечто похожее на ФТП сессию - готов клиент, нужный порт расфайрволен и можно на него долбиться прямым соединением. Как будто фаера и нет. При том, порт может быть произвольный - FTP позволяет любой. В итоге вместо фаера получается сито. При том - я не думаю что такие проблемы только у айпитаблеса, по идее они у всех кто может трекать FTP сессии. А кто не может - у них проблемы с неработой FTP, соответственно :)
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	31. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 28-Дек-09, 18:54
	>Издеваетесь? Проблема в дебильной логике работы FTP протокола - айпитаблес вынужден отслеживать FTP сессии и динамически открывать для них порты. Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. > На самом деле - при таком паскудстве можно считать что фаера почти нет Для вас это новость? Если не ошибаюсь даже в том же руководстве по айпитаблес для начинающих эта проблема описана. >При том - я не думаю что такие проблемы только у айпитаблеса, по идее они у всех кто может трекать FTP сессии. Ну если вы думаете ровно так же как и я, что айпитаблес тут не при делах, то зачем столько много букв?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от User294 (ok), 29-Дек-09, 10:31
	>Протокол 1971 года выпуска, далеко не идеальный Я бы сказал, он феноменален по дебильности и архаичности его устройства. Ну, в 1971 может и не умели делать лучше, но с тех пор человеческий разум ушел вперед. >но до сих пор нечем заменить. Да бросьте вы. Есть добрая дюжина протоколов на замену. А если ни 1 не нравится можно наконец задизайнить новый, с шахматами и поэтессами. А вот некоторые минусы FTP: 1) Нет integrity check файла. Так что слив DVD-sized исоху и обнаружив что у него не сходится md5, останется заново перекачивать весь файл. Поскольку метода понять где битый кусок вообще нет. 2) На заливке кучи мелочи FTP просто нереально тормозит. 3) Он всасывает на файрволах. Его крайне трудно нормально спроксировать. 4) Он подвержен ряду тупых атак. Он также заставляет открывать под атаки другие системы. 5) Шифрования по сути нет (FTPS малопопулярен), с кодировками вечно горбизна, etc. Общий вывод? Закопать и не вспоминать. Лучшее что можно с ним сделать. >Для вас это новость? Если не ошибаюсь даже в том же руководстве >по айпитаблес для начинающих эта проблема описана. Нет, для меня это не новость но как по мне >Ну если вы думаете ровно так же как и я, что айпитаблес >тут не при делах, то зачем столько много букв? Может быть поможет кому-то побыстрее отказаться от юзежа этой архаики. Тогда и закопать можно будет попроще. Туда же и SMTP всякие надо с POP3, из-за которых нынче 95% мыла - спам. Это ж пипец как круто - 95% затраченных на серваки бабок работает на рекламеров которые задарма гоняют мегатонны своего срача.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 29-Дек-09, 11:42
	>>Протокол 1971 года выпуска, далеко не идеальный > >Я бы сказал, он феноменален по дебильности и архаичности его устройства. Ну, >в 1971 может и не умели делать лучше, но с тех >пор человеческий разум ушел вперед. > >>но до сих пор нечем заменить. > >Да бросьте вы. Есть добрая дюжина протоколов на замену. А если ни >1 не нравится можно наконец задизайнить новый, с шахматами и поэтессами. smb? nfs? ssh? люстры с похмельем?   А насчет изобретения очередного велосипеда, вначале нужно определится с протоколом на бумаге, боюсь что ничего не получится. >Общий вывод? Закопать и не вспоминать. Лучшее что можно с ним сделать. >Может быть поможет кому-то побыстрее отказаться от юзежа этой архаики. Тогда и >закопать можно будет попроще. Туда же и SMTP всякие надо с >POP3, из-за которых нынче 95% мыла - спам. Это ж пипец >как круто - 95% затраченных на серваки бабок работает на рекламеров >которые задарма гоняют мегатонны своего срача. Опять же попробуйте нарисовать неуязвимую замену для SMTP на бумаге, хотя бы в виде блок-схемы, боюсь что у вас ничего не получится. Чем вам POP3 не угодил не понятно.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Demo (??), 29-Дек-09, 13:39
	> Опять же попробуйте нарисовать неуязвимую замену для SMTP на бумаге, хотя бы в виде блок-схемы, боюсь что у вас ничего не получится. Не нужна неуязвимая система. Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера. Такая система есть и давно используется и расширяется для нужд MILCOM (NATO и т. д).
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 29-Дек-09, 19:21
	>Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера. Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей, с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах, як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно пройдена спамерами в первый же день. Никаких спамерских серверов. Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам о неэффективности велосипедостроительства.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от XoRe (ok), 30-Дек-09, 00:32
	>>Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера. > >Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей, >с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах, >як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно >пройдена спамерами в первый же день. Никаких спамерских серверов. > >Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам >о неэффективности велосипедостроительства. Можно привести пример немного из другой оперы. Часто получаете спам на джаббер? А если ещё и антибот с антиспамом включить? А можно ещё и явно запретить принимать что-то от неизвестных контактов. А даже если спам будет проходить, то механизмов борьбы с ним в im гораздо больше. Аську прошу не приводить в обратный пример - это как раз пример спаммерского сервера) Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на десятки процентов. Есть над чем подумать)
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от аноним (?), 30-Дек-09, 05:03
	>Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на >десятки процентов. >Есть над чем подумать) Думать не о чем - отключались "головы" ботнетов которые хостились в этих ДЦ. Вскоре появлялись в других местах и всё налаживалось. С наступающим.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 30-Дек-09, 07:35
	>[оверквотинг удален] >>Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей, >>с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах, >>як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно >>пройдена спамерами в первый же день. Никаких спамерских серверов. >> >>Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам >>о неэффективности велосипедостроительства. > >Можно привести пример немного из другой оперы. >Часто получаете спам на джаббер? Мой jabber не публичен, а другими im практически не пользуюсь. >А если ещё и антибот с антиспамом включить? Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. >А можно ещё и явно запретить принимать что-то от неизвестных контактов. Во-первых  SMTP это позволяет, "белые списки" никто не отменял. Во-вторых представьте картину: Захожу, так на сайт некой компании N, вижу что они продают бублики из козъего сыра с левой резьбой на M32, пишу им письмо с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в ответ тишина, письмо было порезано как от неизвестного контакта, компания N в пролете. >Аську прошу не приводить в обратый пример - это как раз пример >спаммерского сервера) >Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на >десятки процентов. >Есть над чем подумать) От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху.
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

	65. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от XoRe (ok), 30-Дек-09, 10:32
	>>А если ещё и антибот с антиспамом включить? > >Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. Я имею в виду, в клиенте включить. Не на сервере. >>А можно ещё и явно запретить принимать что-то от неизвестных контактов. > >Во-первых  SMTP это позволяет, "белые списки" никто не отменял. > >Во-вторых представьте картину: >Захожу, так на сайт некой компании N, вижу что они продают бублики >из козъего сыра с левой резьбой на M32, пишу им письмо >с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в >ответ тишина, письмо было порезано как от неизвестного контакта, компания N >в пролете. Опять же, в клиенте, не на сервере. А в таких случаях обычно должен стоять graylist, но никак не blacklist. Кстати, такие ситуации и сейчас есть - каждый настраивает SMTP сервер в меру своей распущенности) Я имею в виду, что бывали ситуации, что и у компаний покрупнее отфильтровывались письма. Тут в обсуждениях почтовых серверов и антиспам систем люди иногда писали, какие меры борьбы со спамом они принимали. Помнится, предлагали блочить все китайские ip адреса. Для некоторых контор, кстати, это эффективная мера) Есть и ещё один момент - много ли почтовых провайдеров предоставляют доступ своих клиентов к настройке антиспама (которые относятся к их ящику). Хотя тут можно настроить на уровне клиента. >От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не >виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. Насчет виновности - насколько я помню, были прецеденты, закрывали. На это можно посмотреть и с другой точки зрения: Если с хостера идет спам, его ip адреса попадают в блеклист. Что ведет к проблемам для других его клиентов. Что ведет к тому, что хостер начинает шевелиться после их обращений в его техподдержку.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 30-Дек-09, 13:46
	>>>А если ещё и антибот с антиспамом включить? >> >>Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. > >Я имею в виду, в клиенте включить. >Не на сервере. Как вы себе это представляете, "У вас новое письмо, отгадайте загадку для его получения." Так что-ли? Где смысл? >[оверквотинг удален] >> >>Во-вторых представьте картину: >>Захожу, так на сайт некой компании N, вижу что они продают бублики >>из козъего сыра с левой резьбой на M32, пишу им письмо >>с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в >>ответ тишина, письмо было порезано как от неизвестного контакта, компания N >>в пролете. > >Опять же, в клиенте, не на сервере. >А в таких случаях обычно должен стоять graylist, но никак не blacklist. SMTP и это позволяет. >Кстати, такие ситуации и сейчас есть - каждый настраивает SMTP сервер в >меру своей распущенности) >Я имею в виду, что бывали ситуации, что и у компаний покрупнее >отфильтровывались письма. >Тут в обсуждениях почтовых серверов и антиспам систем люди иногда писали, какие >меры борьбы со спамом они принимали. >Помнится, предлагали блочить все китайские ip адреса. >Для некоторых контор, кстати, это эффективная мера) SMTP и это позволяет. >Есть и ещё один момент - много ли почтовых провайдеров предоставляют доступ >своих клиентов к настройке антиспама (которые относятся к их ящику). >Хотя тут можно настроить на уровне клиента. Я не хочу гадать много или не много, вы таки скажите чем  все таки то что вы предлагаете отличается от SMTP? >>От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не >>виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. > >Насчет виновности - насколько я помню, были прецеденты, закрывали. >На это можно посмотреть и с другой точки зрения: >Если с хостера идет спам, его ip адреса попадают в блеклист. >Что ведет к проблемам для других его клиентов. >Что ведет к тому, что хостер начинает шевелиться после их обращений в >его техподдержку. Вот не нужно перекладывать проблему с больной головы на здоровую, у вашего хостера и провайдера своих проблем хватает уж поверьте.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Demo (??), 30-Дек-09, 11:30
	> Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. Для рассылки большому количеству абоннтов есть server-side списки рассылки с подпиской. Если юзверь вздумает расслыать "письма счастья" и проч. ---- воспринимать как злоупотребление. > Во-первых  SMTP это позволяет, "белые списки" никто не отменял. Это не работает. Авторизации отправителя нет. > Захожу, так на сайт некой компании N ... пишу им ... коммерческое предложение ... > а в ответ тишина Эта тема мусолится с 90-х годов. Из недавнего: Вот, пришло от Juniper-а мне письмо, что почту с бесплатных ящиков они обрабатывать не будут. И таких примеров ---- масса. Если ты крупный корпоративный заказчик --- будь добр, пиши с корпоративного мыла. > От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. Обеими руками "За!" Ключевое слово "может".
	Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

	75. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 30-Дек-09, 14:08
	>> Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. > >Для рассылки большому количеству абоннтов есть server-side списки рассылки с подпиской. Если >юзверь вздумает расслыать "письма счастья" и проч. ---- воспринимать как злоупотребление. Представьте что вы работаете в телекоме, раз в месяц вам необходимо разослать счета по всем абонентам, еще необходимо рассылать письма с информацией о предстоящих технических работах и вызванных ими перерывах в связи. Представьте что вы работаете в крупной компании-дистрибьюторе и вам необходимо извещать всех ваших дилеров обо всех изменениях в цене, условиям предоставления услуг, скидкам, изменениям в партнерских программах, новых продуктах и новых услугах. Ваши действия при предлагаемой вами схеме? > >> Во-первых  SMTP это позволяет, "белые списки" никто не отменял. > >Это не работает. Авторизации отправителя нет. И не будет. Авторизация может работать только на основе факта известности существования клиента. >> Захожу, так на сайт некой компании N ... пишу им ... коммерческое предложение ... >> а в ответ тишина > >Эта тема мусолится с 90-х годов. Из недавнего: Вот, пришло от Juniper-а >мне письмо, что почту с бесплатных ящиков они обрабатывать не будут. Черт я не знаю, что такое не бесплатный ящик электронной почты, нехай уже 2010 год на дворе, да и как определить платишь ты за него или нет >И таких примеров ---- масса. Если ты крупный корпоративный заказчик --- >будь добр, пиши с корпоративного мыла. А если мелкий не имеющий своего сервера, принимай 200 миллиграмм отсосина на ночь. А как определить корпоративное мыло или нет? >> От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. > >Обеими руками "За!" . За что вы "За!", я вроде ничего не предлагал. >Ключевое слово "может" Вы администровали почтовый сервер? Вопрос на миллиард долларов, как в реальном времени стопроцентно отсеять спам идущий от любого из ваших тысяч клиентов? В общем я так и не вижу, что вы предлагаете вместо SMTP.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Demo (??), 30-Дек-09, 16:03
	> Представьте что ... раз в месяц вам необходимо разослать счета по всем абонентам Я же сказал: список рассылки по подписке. > Черт я не знаю, что такое не бесплатный ящик электронной почты, > нехай уже 2010 год на дворе, да и как определить платишь ты за него или нет Не нужно юродствовать. Так чтобы короче: на Juniper с mail.ru не слать. > А если мелкий не имеющий своего сервера ... ? Мелкий купит себе virtual mail hosting за $30/year и не будет пудрить мозги. > Вы администровали почтовый сервер? Да. > Вопрос на миллиард долларов, как в реальном времени стопроцентно > отсеять спам идущий от любого из ваших тысяч клиентов? Ещё раз повторю: не нужно 100%. Столько даже в морге не дают. Тут дело катастрофически неэффективных затратах вычислительных мощностей и энергоресурсов используемых на борьбу с mail abuse. Причём в убытке как раз провайдеры и их клиенты.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 30-Дек-09, 16:43
	>Я же сказал: список рассылки по подписке. Что это такое? Желательно с ссылкой на RFC. >Не нужно юродствовать. Так чтобы короче: на Juniper с mail.ru не слать. Такие бедная контора, что не может на антиспам разорится, или просто совсем положить на клиентов? Кстати попробуйте перекрыть у себя на сервере почту с mail.ru, через сколько времени вам вставят, и ограничится-ли только лишением премии? Если сервер конечно не "локалхост", а реальный в эксплуатации. >Мелкий купит себе virtual mail hosting за $30/year и не будет пудрить мозги. А смысл? Гемора на порядок больше, не говоря про затраты денег и времени, а главное спама то меньше не будет, в поле from можно поставить что-угодно, и почту де-факто можно на сервер с любого адреса послать, так что ваше ограничение совсем никак не повлияет на спамеров, зато для ваших клиентов доставит огромные сложности. >> Вы администровали почтовый сервер? >Да. И вам охота ежедневно отвечать за корреспонденцию, от клиентов которых вы в глаза не видели? Вот сейчас праздники новогодние, вам охота выходить на работу (пусть даже удаленно), потому что из-за какого-то "любителя клубнички" ваш почтовик попал в блеклист.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Demo (??), 31-Дек-09, 01:05
	> И вам охота ежедневно отвечать за корреспонденцию, от клиентов которых вы в глаза не видели? Вот сейчас праздники новогодние, вам охота выходить на работу (пусть даже удаленно), потому что из-за какого-то "любителя клубнички" ваш почтовик попал в блеклист. При авторизации отправителя совсем незачем блеклистить весь сервер, т. к. доподлинно известно с аккаунта какой овцы был отослан спам.
	Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

	83. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 31-Дек-09, 05:52
	>При авторизации отправителя совсем незачем блеклистить весь сервер, т. к. доподлинно известно с аккаунта какой овцы был отослан спам. Знаете... надоело. То вам SMTP не нравится, то оказывается что оно ничего. То вы предлагаете банить хостеров и провайдеров если от них идет спам, а на вопрос а как этому провайдеру достоверно узнать спам клиентом отправлен или нет, вы отвечаете что это не нужно. Только что вы предлагали забанить целые сервера (mail.ru). Потом придумали какие-то "списки рассылки со стороны сервера". Теперь вот про авторизацию отправителя, мало того что это почти везде есть, ну кроме open relay, ну авторизуется на SMTP сервере клиент, ну отправит сообщение, а как узнать спам идет или нет? Возьмите документацию уже по SMTP, возьмите бумагу и карандаш, нарисуйте как это все работает, если вам покажется что вы нашли оптимальное решение, возьмите паузу, поищите в гугле,яндексе и т.д., что народ говорит об этом, и если уже совсем уверены, напишите статью, опубликуйте. А вот так изливать поток сознания мало связанного с реальностью, оно никому не нужно.
	Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

	84. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Demo (??), 31-Дек-09, 11:46
	> Знаете... надоело. Да. Надоело объяснять принципы функционирования STANAG 4066 Annex E, XMPP, ACP 142... Всё прозрачно и с авторизацией отправителя и с многоадресной рассылкой и т.д... В SMTP это необязательные для использования костыли, оттягивающие его смерть. В указанных стандартах  ---- это требования, составляющие сущность функционирования протоколов.
	Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

	70. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Demo (??), 30-Дек-09, 11:14
	Так я в исходном посте как-раз и утверждаю, что нет необходимости в строительстве велосипедов. Велосипед изобретён, осталось им только воспользоваться, а не навешивать GPS-навигатор на кусок деревянной доски с прибитыми подшипниками вместо колёс. "Обычного" пользователя таким образом можно идентифицировать и надавать по шапке за разгильдяйство.
	Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

	44. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Michael Shigorin (ok), 29-Дек-09, 17:45
	> smb? nfs? В локалке -- да. > ssh? Для "вебсайтик залить" -- да, rsync -e ssh -- лучше не придумать.  Ну или WebDAV for the rest of them. > люстры с похмельем? Ничего не перепутали?
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	48. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 29-Дек-09, 19:23
	>> smb? nfs? > >В локалке -- да. Согласен. >> ssh? > >Для "вебсайтик залить" -- да, rsync -e ssh -- лучше не придумать. > Ну или WebDAV for the rest of them. Опять же. >> люстры с похмельем? > >Ничего не перепутали? Не, де факто сетевые файловые системы, вполне сравнимые с nfs.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от andr.mobi (??), 30-Дек-09, 10:43
	> smb? nfs? ssh? люстры с похмельем?   9P рулит http://ru.wikipedia.org/wiki/9P
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	41. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от аноним (?), 29-Дек-09, 15:55
	> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. Что значит нечем? Для чего нечем? Для раздачи файлов от маленьких до больших - HTTP, от больших до очень больших - torrent. Для закачки файлов на свой сервер - SFTP. Не покрыта, пожалуй, только анонимная закачка - так такие помойки и не нужны вовсе.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	49. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 29-Дек-09, 19:34
	>> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. > >Что значит нечем? Для чего нечем? Для раздачи файлов от маленьких до >больших - HTTP, от больших до очень больших - torrent. Для >закачки файлов на свой сервер - SFTP. >Не покрыта, пожалуй, только анонимная закачка - так такие помойки и не >нужны вовсе. Отлично, осталось сделать только чтобы та самая пресловутая домохозяйка могла по ссылке в любом браузере открыть, ну и как нибудь решить вопрос со скоростью, хотя это не первостепенно.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от аноним (?), 30-Дек-09, 15:31
	> осталось сделать только чтобы та самая пресловутая домохозяйка Пресловутая домохозяйка FTP для закачки не пользуется по определению. Для скачки и http и torrent открываются в браузере. > ну и как нибудь решить вопрос со скоростью, хотя это не первостепенно Полагаю, это про SFTP, ибо у других прооколов проблем со скоростью нет. У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 30-Дек-09, 17:44
	>Пресловутая домохозяйка FTP для закачки не пользуется по определению. Для скачки и http и torrent открываются в браузере. Как же она файлами то обменивается? >Полагаю, это про SFTP, ибо у других прооколов проблем со скоростью нет. У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня. Скажем так про ssh вообще, мне так sshfs больше нравится чем sftp. А скорость по определению ниже, так как упирается помимо io, как в остальных протоколах еще и в cpu, потому как криптография, а на множестве воркерах cpu может совсем потухнуть, не говоря уже об "отзывчивости". >У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня. Видимо у вас везде гигабит, или один клиент, и все это происходит в локализованном сегменте сети, потому как даже при идеальной связи на 100Mbit iperf таких значений не дает.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Michael Shigorin (ok), 29-Дек-09, 17:39
	> до сих пор нечем заменить Вообще-то вовсю используются HTTP (который далеко не замена, но для основной цели -- "получить файлик" -- гораздо лучше подходит, и латентность тоже ниже) и RSYNC (который не то что замена, а бизнес-класс после FTP -- только бы вот ещё браузилку в браузерах).
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	50. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Ъ (?), 29-Дек-09, 19:36
	>> до сих пор нечем заменить > >Вообще-то вовсю используются HTTP (который далеко не замена, но для основной цели >-- "получить файлик" -- гораздо лучше подходит, и латентность тоже ниже) >и RSYNC (который не то что замена, а бизнес-класс после FTP >-- только бы вот ещё браузилку в браузерах). Ну собственно вы сами все написали.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Обход правил iptables с использованием модулей трекинга FTP-..."	+/–
	Сообщение от Andrew (??), 09-Янв-10, 03:40
	> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. sftp? всмысле ftp over ssh? я вообще ftp не пользуюсь, ибо дырень та еще, а вот файлы как-то копировать надо и sftp вполне спасает
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема