форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
Сообщение от opennews on 27-Дек-09, 20:20
В рассылке netfilter-devel опубликован (http://marc.info/?l=netfilter-devel&m=126190148319485&w=2) способ обхода правил фильтрации iptables с использованием модуля nf_conntrack_ftp. Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. Весь процесс происходит совершенно незаметно для пользователя и не требует каких-то особых разрешений для веб-браузера. Вкупе с модулем nf_nat_ftp, метод позволяет также получать доступ к произвольным портам хостов локальной сети, находящимися за NAT. Продемонстрированный эффект не вызван ошибкой разработчиков, а является проблемой слабо защищенной, но довольно распространенной конфигурации. Для эксплуатации уязвимости могут быть также использованы также и другие способы с другими хелперами conntrack. Рекомендуется проверить конфигурацию и/или временно отключить модули nf_conntrack_ftp, sip и подобные. Например, при использовании модуля nf_conntrack_ftp в ... URL: http://marc.info/?l=netfilter-devel&m=126190148319485&w=2 Новость: http://www.opennet.me/opennews/art.shtml?num=24832
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обход правил iptables с использованием модулей трекинга FTP-..."		+1 +/–
Сообщение от ро on 27-Дек-09, 20:20
как вариант перед "-m state --state ESTABLISHED,RELATED -j ACCEPT" добавить правила блокирующие пакеты на незащищенные порты. костыль конечно, но для параноиков сойдет :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	24. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от ро on 28-Дек-09, 11:47
	iptables -A INPUT -p tcp -m helper --helper ftp -p tcp ! --dport 1024:4096 -j DROP или iptables -A INPUT -p tcp --sport 20 ! --dport 1024:4096 -j DROP (запрешаем коннект на порты которые не лежат в диапазоне 1024:4096)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	59. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Evgeniy (??) on 30-Дек-09, 03:04
	А модуль открывает _только соединения с --sport 20 ? ему нельзя сказать, чтобы открыть на указанный порт с --sport != 20  ? >iptables -A INPUT -p tcp -m helper --helper ftp -p tcp ! >--dport 1024:4096 -j DROP > >или > >iptables -A INPUT -p tcp --sport 20 ! --dport 1024:4096 -j DROP > > >(запрешаем коннект на порты которые не лежат в диапазоне 1024:4096)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	71. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от ро on 30-Дек-09, 11:25
	в активном ftp дата-коннект всегда идет с 20 порта
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	81. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Evgeniy (??) on 30-Дек-09, 19:26
	>в активном ftp дата-коннект всегда идет с 20 порта это я знаю. Вопрос в том, нет ли в том модуле.. дыры, позволяющей не с 20-го 8-)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Обход правил iptables с использованием модулей трекинга FTP-..."		–6 +/–
Сообщение от mitya (ok) on 27-Дек-09, 20:58
Не в тему, но хорошо бы pf на линукс портировать.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от i (??) on 28-Дек-09, 08:51
	вот именно, не в тему. pf тут нафиг не нужен.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от User294 (ok) on 28-Дек-09, 10:18
	Не понятно при чем тут вообще pf. Действительно не в тему.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Обход правил iptables с использованием модулей трекинга FTP-..."		+1 +/–
Сообщение от аноним on 27-Дек-09, 21:03
FTP вообще давно пора запретить.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "Обход правил iptables с использованием модулей трекинга FTP-..."		+1 +/–
	Сообщение от User294 (ok) on 28-Дек-09, 10:19
	>FTP вообще давно пора запретить. Действительно, удивительно дебильно сделанный протокол.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
Сообщение от Ъ on 27-Дек-09, 21:35
>Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. Це троян. Причем тут айпитаблес.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Обход правил iptables с использованием модулей трекинга FTP-..."		–1 +/–
	Сообщение от Аноним (??) on 27-Дек-09, 21:55
	>>Злоумышленник может получить доступ к любому порту на атакуемой машине как только пользователь откроет специально сформированную веб-страницу. > >Це троян. Причем тут айпитаблес. При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от аноним on 27-Дек-09, 22:41
	>При том, что если пользователь откроет данный web-скрипт в браузере, этот скрипт может пробиться на любой порт его машины, даже есть он прикрыт iptables. Заменяем iptables на pf, а nf_conntrack_ftp на ftp-proxy и получаем совершенно аналогичный эффект. Так что конкретный фаервол тут не при чем.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Обход правил iptables с использованием модулей трекинга FTP-..."		+1 +/–
	Сообщение от Просто Лось. on 27-Дек-09, 23:40
	Вот именно. Вообще непонятно, в чём новость. Это документированная всем известная фича. Все правила всегда пишутся с учётом этих вещей. Даже примеров использования этой фичи в инете море (навскидку, вспоминается статья во phrack скольки-то летней давности на примере трекинга IRC-протокола).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Обход правил iptables с использованием модулей трекинга FTP-..."		+1 +/–
	Сообщение от Антон (??) on 28-Дек-09, 09:54
	Насколько я понял, проблема именно в conntrack_ftp модуле iptables, которые не отслеживает всю цепочку при инициировании активного соединения. Одно дело когда соединиться на произвольный порт можно только после обращения к FTP, другое дело - после обращения к web-скрипту. Conntrack_ftp должен позволять выполнять обратные PORT команды только для хостов к которым до этого в течение нескольких секунд было _успешное_ обращение по 21 и только 21 порту (conntrack модуль должен отследить, что команда PORT выполнена именно в этом соединении, т.е. поймали в потоке для FTP сессии PORT x,x,x,x,y,z и разрешаем только эти "x,x,x,x,y,z"). Также conntrack_ftp не должен давать через PORT соединяться на системные номера портов ( < 1024). Поэтому, IMHO, это самая настоящая уязвимость, вызванная недальновидностью разработчиков conntrack модулей, которые не достаточно плотно вгрызаются в логику транслируемых сессий.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Обход правил iptables с использованием модулей трекинга FTP-..."		+1 +/–
	Сообщение от Антон (??) on 28-Дек-09, 10:02
	Резюмирую, чтобы меня правильно поняли: через FTP такая возможность остается, но проблема именно в том, что такое сейчас можно сделать через web. Вынудить пользователя открыть web-страницу - элементарно. Заманить пользователя на FTP и выполнить нужную PORT команду - нереально.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	22. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от ро on 28-Дек-09, 10:36
	либо вы не мыслите логически, либо читали статью по диагонали. скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт клиента (если конечно правилами iptables это не запрещено).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	25. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Антон (??) on 28-Дек-09, 12:23
	>скрипт как раз нужен чтобы подключиться к липовому фтп серверу и отправить >PORT. тем самым разрешив поддельному серверу инициировать соединение на любой порт >клиента (если конечно правилами iptables это не запрещено). Вы правы, в примере fake-server.py запускается на 21 порту, web-скрипт лишь выступает в роли ftp-клиента.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от User294 (ok) on 28-Дек-09, 10:26
	>Це троян. Причем тут айпитаблес. Издеваетесь? Проблема в дебильной логике работы FTP протокола - айпитаблес вынужден отслеживать FTP сессии и динамически открывать для них порты. На самом деле - при таком паскудстве можно считать что фаера почти нет: Если хоть как-то удастся убедить ремотного юзера изобразить нечто похожее на ФТП сессию - готов клиент, нужный порт расфайрволен и можно на него долбиться прямым соединением. Как будто фаера и нет. При том, порт может быть произвольный - FTP позволяет любой. В итоге вместо фаера получается сито. При том - я не думаю что такие проблемы только у айпитаблеса, по идее они у всех кто может трекать FTP сессии. А кто не может - у них проблемы с неработой FTP, соответственно :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	31. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 28-Дек-09, 18:54
	>Издеваетесь? Проблема в дебильной логике работы FTP протокола - айпитаблес вынужден отслеживать FTP сессии и динамически открывать для них порты. Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. > На самом деле - при таком паскудстве можно считать что фаера почти нет Для вас это новость? Если не ошибаюсь даже в том же руководстве по айпитаблес для начинающих эта проблема описана. >При том - я не думаю что такие проблемы только у айпитаблеса, по идее они у всех кто может трекать FTP сессии. Ну если вы думаете ровно так же как и я, что айпитаблес тут не при делах, то зачем столько много букв?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	37. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от User294 (ok) on 29-Дек-09, 10:31
	>Протокол 1971 года выпуска, далеко не идеальный Я бы сказал, он феноменален по дебильности и архаичности его устройства. Ну, в 1971 может и не умели делать лучше, но с тех пор человеческий разум ушел вперед. >но до сих пор нечем заменить. Да бросьте вы. Есть добрая дюжина протоколов на замену. А если ни 1 не нравится можно наконец задизайнить новый, с шахматами и поэтессами. А вот некоторые минусы FTP: 1) Нет integrity check файла. Так что слив DVD-sized исоху и обнаружив что у него не сходится md5, останется заново перекачивать весь файл. Поскольку метода понять где битый кусок вообще нет. 2) На заливке кучи мелочи FTP просто нереально тормозит. 3) Он всасывает на файрволах. Его крайне трудно нормально спроксировать. 4) Он подвержен ряду тупых атак. Он также заставляет открывать под атаки другие системы. 5) Шифрования по сути нет (FTPS малопопулярен), с кодировками вечно горбизна, etc. Общий вывод? Закопать и не вспоминать. Лучшее что можно с ним сделать. >Для вас это новость? Если не ошибаюсь даже в том же руководстве >по айпитаблес для начинающих эта проблема описана. Нет, для меня это не новость но как по мне >Ну если вы думаете ровно так же как и я, что айпитаблес >тут не при делах, то зачем столько много букв? Может быть поможет кому-то побыстрее отказаться от юзежа этой архаики. Тогда и закопать можно будет попроще. Туда же и SMTP всякие надо с POP3, из-за которых нынче 95% мыла - спам. Это ж пипец как круто - 95% затраченных на серваки бабок работает на рекламеров которые задарма гоняют мегатонны своего срача.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	39. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 29-Дек-09, 11:42
	>>Протокол 1971 года выпуска, далеко не идеальный > >Я бы сказал, он феноменален по дебильности и архаичности его устройства. Ну, >в 1971 может и не умели делать лучше, но с тех >пор человеческий разум ушел вперед. > >>но до сих пор нечем заменить. > >Да бросьте вы. Есть добрая дюжина протоколов на замену. А если ни >1 не нравится можно наконец задизайнить новый, с шахматами и поэтессами. smb? nfs? ssh? люстры с похмельем?   А насчет изобретения очередного велосипеда, вначале нужно определится с протоколом на бумаге, боюсь что ничего не получится. >Общий вывод? Закопать и не вспоминать. Лучшее что можно с ним сделать. >Может быть поможет кому-то побыстрее отказаться от юзежа этой архаики. Тогда и >закопать можно будет попроще. Туда же и SMTP всякие надо с >POP3, из-за которых нынче 95% мыла - спам. Это ж пипец >как круто - 95% затраченных на серваки бабок работает на рекламеров >которые задарма гоняют мегатонны своего срача. Опять же попробуйте нарисовать неуязвимую замену для SMTP на бумаге, хотя бы в виде блок-схемы, боюсь что у вас ничего не получится. Чем вам POP3 не угодил не понятно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	40. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Demo (??) on 29-Дек-09, 13:39
	> Опять же попробуйте нарисовать неуязвимую замену для SMTP на бумаге, хотя бы в виде блок-схемы, боюсь что у вас ничего не получится. Не нужна неуязвимая система. Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера. Такая система есть и давно используется и расширяется для нужд MILCOM (NATO и т. д).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	47. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 29-Дек-09, 19:21
	>Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера. Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей, с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах, як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно пройдена спамерами в первый же день. Никаких спамерских серверов. Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам о неэффективности велосипедостроительства.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	56. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от XoRe (ok) on 30-Дек-09, 00:32
	>>Нужна система с авторизачией отправителя, позволяющая эффективно блокировать спамеров и их сервера. > >Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей, >с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах, >як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно >пройдена спамерами в первый же день. Никаких спамерских серверов. > >Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам >о неэффективности велосипедостроительства. Можно привести пример немного из другой оперы. Часто получаете спам на джаббер? А если ещё и антибот с антиспамом включить? А можно ещё и явно запретить принимать что-то от неизвестных контактов. А даже если спам будет проходить, то механизмов борьбы с ним в im гораздо больше. Аську прошу не приводить в обратный пример - это как раз пример спаммерского сервера) Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на десятки процентов. Есть над чем подумать)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	62. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от аноним on 30-Дек-09, 05:03
	>Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на >десятки процентов. >Есть над чем подумать) Думать не о чем - отключались "головы" ботнетов которые хостились в этих ДЦ. Вскоре появлялись в других местах и всё налаживалось. С наступающим.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	63. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 30-Дек-09, 07:35
	>[оверквотинг удален] >>Проблема в том, что на 95% спам рассылается ботнетами, от обычных пользователей, >>с обычной почтой, еще 5% это регистрация пачками на бесплатных доменнах, >>як mail.ru и рассылка отуда. Так что ваша авторизация будет успешно >>пройдена спамерами в первый же день. Никаких спамерских серверов. >> >>Таким образом, засев с бумагой и карандашом, вы быстро придете к выводам >>о неэффективности велосипедостроительства. > >Можно привести пример немного из другой оперы. >Часто получаете спам на джаббер? Мой jabber не публичен, а другими im практически не пользуюсь. >А если ещё и антибот с антиспамом включить? Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. >А можно ещё и явно запретить принимать что-то от неизвестных контактов. Во-первых  SMTP это позволяет, "белые списки" никто не отменял. Во-вторых представьте картину: Захожу, так на сайт некой компании N, вижу что они продают бублики из козъего сыра с левой резьбой на M32, пишу им письмо с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в ответ тишина, письмо было порезано как от неизвестного контакта, компания N в пролете. >Аську прошу не приводить в обратый пример - это как раз пример >спаммерского сервера) >Кстати, были прецеденты, когда после закрытия какого-то хостера, количество спама уменьшалось на >десятки процентов. >Есть над чем подумать) От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	65. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от XoRe (ok) on 30-Дек-09, 10:32
	>>А если ещё и антибот с антиспамом включить? > >Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. Я имею в виду, в клиенте включить. Не на сервере. >>А можно ещё и явно запретить принимать что-то от неизвестных контактов. > >Во-первых  SMTP это позволяет, "белые списки" никто не отменял. > >Во-вторых представьте картину: >Захожу, так на сайт некой компании N, вижу что они продают бублики >из козъего сыра с левой резьбой на M32, пишу им письмо >с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в >ответ тишина, письмо было порезано как от неизвестного контакта, компания N >в пролете. Опять же, в клиенте, не на сервере. А в таких случаях обычно должен стоять graylist, но никак не blacklist. Кстати, такие ситуации и сейчас есть - каждый настраивает SMTP сервер в меру своей распущенности) Я имею в виду, что бывали ситуации, что и у компаний покрупнее отфильтровывались письма. Тут в обсуждениях почтовых серверов и антиспам систем люди иногда писали, какие меры борьбы со спамом они принимали. Помнится, предлагали блочить все китайские ip адреса. Для некоторых контор, кстати, это эффективная мера) Есть и ещё один момент - много ли почтовых провайдеров предоставляют доступ своих клиентов к настройке антиспама (которые относятся к их ящику). Хотя тут можно настроить на уровне клиента. >От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не >виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. Насчет виновности - насколько я помню, были прецеденты, закрывали. На это можно посмотреть и с другой точки зрения: Если с хостера идет спам, его ip адреса попадают в блеклист. Что ведет к проблемам для других его клиентов. Что ведет к тому, что хостер начинает шевелиться после их обращений в его техподдержку.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	74. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 30-Дек-09, 13:46
	>>>А если ещё и антибот с антиспамом включить? >> >>Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. > >Я имею в виду, в клиенте включить. >Не на сервере. Как вы себе это представляете, "У вас новое письмо, отгадайте загадку для его получения." Так что-ли? Где смысл? >[оверквотинг удален] >> >>Во-вторых представьте картину: >>Захожу, так на сайт некой компании N, вижу что они продают бублики >>из козъего сыра с левой резьбой на M32, пишу им письмо >>с просьбой выставить счет/коммерческое предложение на партию таких бубликов, а в >>ответ тишина, письмо было порезано как от неизвестного контакта, компания N >>в пролете. > >Опять же, в клиенте, не на сервере. >А в таких случаях обычно должен стоять graylist, но никак не blacklist. SMTP и это позволяет. >Кстати, такие ситуации и сейчас есть - каждый настраивает SMTP сервер в >меру своей распущенности) >Я имею в виду, что бывали ситуации, что и у компаний покрупнее >отфильтровывались письма. >Тут в обсуждениях почтовых серверов и антиспам систем люди иногда писали, какие >меры борьбы со спамом они принимали. >Помнится, предлагали блочить все китайские ip адреса. >Для некоторых контор, кстати, это эффективная мера) SMTP и это позволяет. >Есть и ещё один момент - много ли почтовых провайдеров предоставляют доступ >своих клиентов к настройке антиспама (которые относятся к их ящику). >Хотя тут можно настроить на уровне клиента. Я не хочу гадать много или не много, вы таки скажите чем  все таки то что вы предлагаете отличается от SMTP? >>От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не >>виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. > >Насчет виновности - насколько я помню, были прецеденты, закрывали. >На это можно посмотреть и с другой точки зрения: >Если с хостера идет спам, его ip адреса попадают в блеклист. >Что ведет к проблемам для других его клиентов. >Что ведет к тому, что хостер начинает шевелиться после их обращений в >его техподдержку. Вот не нужно перекладывать проблему с больной головы на здоровую, у вашего хостера и провайдера своих проблем хватает уж поверьте.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	72. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Demo (??) on 30-Дек-09, 11:30
	> Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. Для рассылки большому количеству абоннтов есть server-side списки рассылки с подпиской. Если юзверь вздумает расслыать "письма счастья" и проч. ---- воспринимать как злоупотребление. > Во-первых  SMTP это позволяет, "белые списки" никто не отменял. Это не работает. Авторизации отправителя нет. > Захожу, так на сайт некой компании N ... пишу им ... коммерческое предложение ... > а в ответ тишина Эта тема мусолится с 90-х годов. Из недавнего: Вот, пришло от Juniper-а мне письмо, что почту с бесплатных ящиков они обрабатывать не будут. И таких примеров ---- масса. Если ты крупный корпоративный заказчик --- будь добр, пиши с корпоративного мыла. > От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. Обеими руками "За!" Ключевое слово "может".
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	75. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 30-Дек-09, 14:08
	>> Вот то все обрадуются, когда необходимо будет рассылку сделать, тысячам абонентов. > >Для рассылки большому количеству абоннтов есть server-side списки рассылки с подпиской. Если >юзверь вздумает расслыать "письма счастья" и проч. ---- воспринимать как злоупотребление. Представьте что вы работаете в телекоме, раз в месяц вам необходимо разослать счета по всем абонентам, еще необходимо рассылать письма с информацией о предстоящих технических работах и вызванных ими перерывах в связи. Представьте что вы работаете в крупной компании-дистрибьюторе и вам необходимо извещать всех ваших дилеров обо всех изменениях в цене, условиям предоставления услуг, скидкам, изменениям в партнерских программах, новых продуктах и новых услугах. Ваши действия при предлагаемой вами схеме? > >> Во-первых  SMTP это позволяет, "белые списки" никто не отменял. > >Это не работает. Авторизации отправителя нет. И не будет. Авторизация может работать только на основе факта известности существования клиента. >> Захожу, так на сайт некой компании N ... пишу им ... коммерческое предложение ... >> а в ответ тишина > >Эта тема мусолится с 90-х годов. Из недавнего: Вот, пришло от Juniper-а >мне письмо, что почту с бесплатных ящиков они обрабатывать не будут. Черт я не знаю, что такое не бесплатный ящик электронной почты, нехай уже 2010 год на дворе, да и как определить платишь ты за него или нет >И таких примеров ---- масса. Если ты крупный корпоративный заказчик --- >будь добр, пиши с корпоративного мыла. А если мелкий не имеющий своего сервера, принимай 200 миллиграмм отсосина на ночь. А как определить корпоративное мыло или нет? >> От любого провайдера/хостера может идти спам, причем сам он будет абсолютно не виновен, что кто-то из его абонентов подхватил троян, просматриваю порнуху. > >Обеими руками "За!" . За что вы "За!", я вроде ничего не предлагал. >Ключевое слово "может" Вы администровали почтовый сервер? Вопрос на миллиард долларов, как в реальном времени стопроцентно отсеять спам идущий от любого из ваших тысяч клиентов? В общем я так и не вижу, что вы предлагаете вместо SMTP.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	78. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Demo (??) on 30-Дек-09, 16:03
	> Представьте что ... раз в месяц вам необходимо разослать счета по всем абонентам Я же сказал: список рассылки по подписке. > Черт я не знаю, что такое не бесплатный ящик электронной почты, > нехай уже 2010 год на дворе, да и как определить платишь ты за него или нет Не нужно юродствовать. Так чтобы короче: на Juniper с mail.ru не слать. > А если мелкий не имеющий своего сервера ... ? Мелкий купит себе virtual mail hosting за $30/year и не будет пудрить мозги. > Вы администровали почтовый сервер? Да. > Вопрос на миллиард долларов, как в реальном времени стопроцентно > отсеять спам идущий от любого из ваших тысяч клиентов? Ещё раз повторю: не нужно 100%. Столько даже в морге не дают. Тут дело катастрофически неэффективных затратах вычислительных мощностей и энергоресурсов используемых на борьбу с mail abuse. Причём в убытке как раз провайдеры и их клиенты.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	79. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 30-Дек-09, 16:43
	>Я же сказал: список рассылки по подписке. Что это такое? Желательно с ссылкой на RFC. >Не нужно юродствовать. Так чтобы короче: на Juniper с mail.ru не слать. Такие бедная контора, что не может на антиспам разорится, или просто совсем положить на клиентов? Кстати попробуйте перекрыть у себя на сервере почту с mail.ru, через сколько времени вам вставят, и ограничится-ли только лишением премии? Если сервер конечно не "локалхост", а реальный в эксплуатации. >Мелкий купит себе virtual mail hosting за $30/year и не будет пудрить мозги. А смысл? Гемора на порядок больше, не говоря про затраты денег и времени, а главное спама то меньше не будет, в поле from можно поставить что-угодно, и почту де-факто можно на сервер с любого адреса послать, так что ваше ограничение совсем никак не повлияет на спамеров, зато для ваших клиентов доставит огромные сложности. >> Вы администровали почтовый сервер? >Да. И вам охота ежедневно отвечать за корреспонденцию, от клиентов которых вы в глаза не видели? Вот сейчас праздники новогодние, вам охота выходить на работу (пусть даже удаленно), потому что из-за какого-то "любителя клубнички" ваш почтовик попал в блеклист.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	82. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Demo (??) on 31-Дек-09, 01:05
	> И вам охота ежедневно отвечать за корреспонденцию, от клиентов которых вы в глаза не видели? Вот сейчас праздники новогодние, вам охота выходить на работу (пусть даже удаленно), потому что из-за какого-то "любителя клубнички" ваш почтовик попал в блеклист. При авторизации отправителя совсем незачем блеклистить весь сервер, т. к. доподлинно известно с аккаунта какой овцы был отослан спам.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	83. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 31-Дек-09, 05:52
	>При авторизации отправителя совсем незачем блеклистить весь сервер, т. к. доподлинно известно с аккаунта какой овцы был отослан спам. Знаете... надоело. То вам SMTP не нравится, то оказывается что оно ничего. То вы предлагаете банить хостеров и провайдеров если от них идет спам, а на вопрос а как этому провайдеру достоверно узнать спам клиентом отправлен или нет, вы отвечаете что это не нужно. Только что вы предлагали забанить целые сервера (mail.ru). Потом придумали какие-то "списки рассылки со стороны сервера". Теперь вот про авторизацию отправителя, мало того что это почти везде есть, ну кроме open relay, ну авторизуется на SMTP сервере клиент, ну отправит сообщение, а как узнать спам идет или нет? Возьмите документацию уже по SMTP, возьмите бумагу и карандаш, нарисуйте как это все работает, если вам покажется что вы нашли оптимальное решение, возьмите паузу, поищите в гугле,яндексе и т.д., что народ говорит об этом, и если уже совсем уверены, напишите статью, опубликуйте. А вот так изливать поток сознания мало связанного с реальностью, оно никому не нужно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	84. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Demo (??) on 31-Дек-09, 11:46
	> Знаете... надоело. Да. Надоело объяснять принципы функционирования STANAG 4066 Annex E, XMPP, ACP 142... Всё прозрачно и с авторизацией отправителя и с многоадресной рассылкой и т.д... В SMTP это необязательные для использования костыли, оттягивающие его смерть. В указанных стандартах  ---- это требования, составляющие сущность функционирования протоколов.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	70. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Demo (??) on 30-Дек-09, 11:14
	Так я в исходном посте как-раз и утверждаю, что нет необходимости в строительстве велосипедов. Велосипед изобретён, осталось им только воспользоваться, а не навешивать GPS-навигатор на кусок деревянной доски с прибитыми подшипниками вместо колёс. "Обычного" пользователя таким образом можно идентифицировать и надавать по шапке за разгильдяйство.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	44. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Michael Shigorin (ok) on 29-Дек-09, 17:45
	> smb? nfs? В локалке -- да. > ssh? Для "вебсайтик залить" -- да, rsync -e ssh -- лучше не придумать.  Ну или WebDAV for the rest of them. > люстры с похмельем? Ничего не перепутали?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	48. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 29-Дек-09, 19:23
	>> smb? nfs? > >В локалке -- да. Согласен. >> ssh? > >Для "вебсайтик залить" -- да, rsync -e ssh -- лучше не придумать. > Ну или WebDAV for the rest of them. Опять же. >> люстры с похмельем? > >Ничего не перепутали? Не, де факто сетевые файловые системы, вполне сравнимые с nfs.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	69. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от andr.mobi (??) on 30-Дек-09, 10:43
	> smb? nfs? ssh? люстры с похмельем?   9P рулит http://ru.wikipedia.org/wiki/9P
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	41. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от аноним on 29-Дек-09, 15:55
	> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. Что значит нечем? Для чего нечем? Для раздачи файлов от маленьких до больших - HTTP, от больших до очень больших - torrent. Для закачки файлов на свой сервер - SFTP. Не покрыта, пожалуй, только анонимная закачка - так такие помойки и не нужны вовсе.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	49. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 29-Дек-09, 19:34
	>> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. > >Что значит нечем? Для чего нечем? Для раздачи файлов от маленьких до >больших - HTTP, от больших до очень больших - torrent. Для >закачки файлов на свой сервер - SFTP. >Не покрыта, пожалуй, только анонимная закачка - так такие помойки и не >нужны вовсе. Отлично, осталось сделать только чтобы та самая пресловутая домохозяйка могла по ссылке в любом браузере открыть, ну и как нибудь решить вопрос со скоростью, хотя это не первостепенно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	77. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от аноним on 30-Дек-09, 15:31
	> осталось сделать только чтобы та самая пресловутая домохозяйка Пресловутая домохозяйка FTP для закачки не пользуется по определению. Для скачки и http и torrent открываются в браузере. > ну и как нибудь решить вопрос со скоростью, хотя это не первостепенно Полагаю, это про SFTP, ибо у других прооколов проблем со скоростью нет. У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	80. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 30-Дек-09, 17:44
	>Пресловутая домохозяйка FTP для закачки не пользуется по определению. Для скачки и http и torrent открываются в браузере. Как же она файлами то обменивается? >Полагаю, это про SFTP, ибо у других прооколов проблем со скоростью нет. У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня. Скажем так про ssh вообще, мне так sshfs больше нравится чем sftp. А скорость по определению ниже, так как упирается помимо io, как в остальных протоколах еще и в cpu, потому как криптография, а на множестве воркерах cpu может совсем потухнуть, не говоря уже об "отзывчивости". >У SFTP скорость меньше полных 100MBit у меня там получалась только на совсем допотопном железе типа второго пня. Видимо у вас везде гигабит, или один клиент, и все это происходит в локализованном сегменте сети, потому как даже при идеальной связи на 100Mbit iperf таких значений не дает.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	43. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Michael Shigorin (ok) on 29-Дек-09, 17:39
	> до сих пор нечем заменить Вообще-то вовсю используются HTTP (который далеко не замена, но для основной цели -- "получить файлик" -- гораздо лучше подходит, и латентность тоже ниже) и RSYNC (который не то что замена, а бизнес-класс после FTP -- только бы вот ещё браузилку в браузерах).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	50. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 29-Дек-09, 19:36
	>> до сих пор нечем заменить > >Вообще-то вовсю используются HTTP (который далеко не замена, но для основной цели >-- "получить файлик" -- гораздо лучше подходит, и латентность тоже ниже) >и RSYNC (который не то что замена, а бизнес-класс после FTP >-- только бы вот ещё браузилку в браузерах). Ну собственно вы сами все написали.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	85. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Andrew (??) on 09-Янв-10, 03:40
	> Протокол 1971 года выпуска, далеко не идеальный но до сих пор нечем заменить. sftp? всмысле ftp over ssh? я вообще ftp не пользуюсь, ибо дырень та еще, а вот файлы как-то копировать надо и sftp вполне спасает
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
Сообщение от pavlinux (ok) on 28-Дек-09, 00:09
Я вот только одного нефкурю, как обычный юзер получит доступ к conntrac_ модулям
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от demon (??) on 28-Дек-09, 00:14
	Сразу же как их включит на гейте админ. А он их включит сразу же как начнут жаловаться, что FTP не работает.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от pavlinux (ok) on 28-Дек-09, 02:42
	Ладно, почему состояние сети, протокола, пакета,  влияет на настройку???? Ладно... Адаптация и всё такое... Тогда,  почему команда пришедшая из одной подсети, влияет на настройки другой подсети? Если я зашлю пакет с запросом на размер TCP окна в пару терабайт, система раком встанет??? Или из вне, ICMP broadcast, с адресом отправителя 192.168.255.255, роутер всю подсеть загадит? Нет. Так какого ..я тут так?!
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Gra2k (ok) on 28-Дек-09, 03:13
	Команды тут не причем, для гейта пакеты вполне нормальные, скрипт просто игнорирует вопли клиента о том на какой порт отвечать.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	38. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от User294 (ok) on 29-Дек-09, 10:37
	>Или из вне, ICMP broadcast, с адресом отправителя 192.168.255.255, роутер всю подсеть >загадит? Вообще я заметил модную тенденцию: в P2P сетях (ed2k/*mule, torrent) некоторые откровенно инжектят левые адреса. Явно рассчитывая на то что клиенты протупят и будут туда долбиться. И кстати не все клиенты достаточно умны чтобы отсеивать такое свинство :). Правда для меня остается загадкой великий смысл такого срача. Сильно засрать так что-то трудно, нечто типа "just because we can"?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	46. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Аноним (??) on 29-Дек-09, 19:10
	> Вообще я заметил модную тенденцию: в P2P сетях (ed2k/*mule, torrent) некоторые откровенно инжектят левые адреса. В torrent'е с нулём на конце ? тогда это мюТоррент делает, из-за ошибки в реализации протокола PeerExchange (PEX)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	23. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от User294 (ok) on 28-Дек-09, 10:59
	>Я вот только одного нефкурю, как обычный юзер получит доступ к conntrac_ модулям Обычно этот по дефолту есть. Чтобы ФТП работал.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Обход правил iptables с использованием модулей трекинга FTP-..."		+2 +/–
Сообщение от Аноним (??) on 28-Дек-09, 00:13
Предлагаю для ясности убрать из заголовка слово iptables
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
Сообщение от Gra2k (ok) on 28-Дек-09, 03:23
Набор правил написанных невежей, следует блочить порты <49151 , вот если бы был бы обход ограничения по портам,а так это тупой ртфм протокола фтп.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Аноним (??) on 28-Дек-09, 05:42
	>Набор правил написанных невежей, следует блочить порты <49151 , вот если бы >был бы обход ограничения по портам,а так это тупой ртфм протокола >фтп. Дык проблема известная была то, только почему-то не думал никто о ней. Решение также известно, правда его мало кто используется: For first case we can avoid problem by changing net.ipv4.ip_local_port_range and specifying  only these values in --dport at the "-m state --state" rule. For second case, we can play with FORWARD chain rules and make its conntrack-based (and specify --dport for tcp / udp). We can simple unload conntrack_ftp too. Кроме того, >I've just asked friend of mine to connect remote ftp through a particular 2.4.x ADSL router with probably loaded ip_conntrack_ftp, and his records showed me, that active ftp worked without any problems, lsmod was almost empty (i.e. modules really built-in), but no appropriate rules existed in iptables. То есть, если у вас коробка с гордой надпись D-Link, Linksys и подобное, то большая вероятность, что модуль там загружен и правила описаны такие же, как и в сообщении.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
Сообщение от Touch (??) on 28-Дек-09, 14:13
frox - прозрачный прокси-сервер для FTP
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
Сообщение от XoRe (ok) on 28-Дек-09, 14:29
Есть идеи, как с этим бороться? Я говорю про линукс в дешевых роутерах. На серверах-то всегда можно отключить ip_conntrack_ftp и говорить "юзайте пассивный ftp".
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	42. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от ро on 29-Дек-09, 16:13
	>Есть идеи, как с этим бороться? >Я говорю про линукс в дешевых роутерах. > >На серверах-то всегда можно отключить ip_conntrack_ftp и говорить "юзайте пассивный ftp". поставить открытую прошивку, например openwrt и настроить iptables.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	66. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от XoRe (ok) on 30-Дек-09, 10:36
	>>Есть идеи, как с этим бороться? >>Я говорю про линукс в дешевых роутерах. >> >>На серверах-то всегда можно отключить ip_conntrack_ftp и говорить "юзайте пассивный ftp". > >поставить открытую прошивку, например openwrt и настроить iptables. Вариант, согласен. Правда, не для всех роутеров есть открытые прошивки. Плюс есть ADSL модемы, к примеру, компании ZTE. Дешевые, простые и без открытых прошивок)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Обход правил iptables с использованием модулей трекинга FTP-..."		+3 +/–
Сообщение от XoRe (ok) on 28-Дек-09, 15:06
Да, кстати. Попробую популярно объяснить, что это такое. Юзер заходит браузером на страничку хакера. У него в браузере выполняется JS скрипт. Этот JS скрипт стучится на сервер хакера, на 21 порт. Скрипт шлет команды: USER anonymous PASS test@example.com PORT 192,168,1,2,1,189 Роутер юзера видит (за счет nf_conntrack_ftp), что юзер говорит FTP серверу: "Подключайся ко мне, на ip адрес 192.168.1.2 и на порт 445". 445 порт - это 1*256 + 189 (последние числа в команде PORT). Роутер думает "Бедный юзер, FTP сервер не сможет до него достучаться. Ведь юзер за натом.". И переделывает команду "PORT 192,168,1,2,1,189" в команду "PORT 8,8,8,8,201,128". Где, 8.8.8.8 - это внешний ip адрес роутера (допустим). А 201,128 - это значит порт 51584 (201*256 + 128). А ещё добрый роутер делает временный проброс порта 51584 на адрес 192.168.1.2 и порт 445. Сервер хакера (который слушает на 21 порту) получает команду "PORT 8,8,8,8,201,128". И пытается ткнуться на ip адрес 8.8.8.8 и порт 51584. Добрый роутер пробрасывает это соединение. И сервер хакера без особых усилий достукивается до порта 445 юзера с ip адресом 192.168.1.2. А дальше уже все зависит от умений и знаний хакера. Можно не только на 445 порт подключаться, а на любой. У винды "открытые веселые порты" есть с номерами больше 1024. Как вы можете видеть, атака НЕ зависит от включения/выключения ftp протокола на компьютере клиента. FTP клиентом выступает JS скрипт в браузере юзера. Если у юзера роутер - это ваш сервер, то конечно можно принять меры. Поставить frox, сделать правила iptables или ещё чего. Или можно тупо вырубить nf_conntrack_ftp. А что можно сделать, если у юзера роутер - железка, в которой до настройки фаерволла не добраться? "не надо юзать дешевые железки" - не вариант. Как вариант - все-таки включать брандмауэр виндовс. Ну да, фигня) А что делать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	29. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Huko on 28-Дек-09, 15:42
	А брандмауэр виндовс разве не пропустит это соединение ? Оно же было инициировано самими клиентом (а-ля estalished) или я не до конца понимаю логику работы этого брандмауэра ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	34. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от XoRe (ok) on 28-Дек-09, 21:52
	>А брандмауэр виндовс разве не пропустит это соединение ? Оно же было >инициировано самими клиентом (а-ля estalished) или я не до конца понимаю >логику работы этого брандмауэра ? Если по простому, скрипт просит сервера подключиться к нему на 445 порт. Сам он устанавливает соединение, естественно, не с 445 порта. Так что это соединение новое, входячее.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	30. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Аноним (??) on 28-Дек-09, 16:39
	Ну в домашних роутерах еще в добавок часто включен upnp, так что...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	35. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от XoRe (ok) on 28-Дек-09, 23:05
	>Ну в домашних роутерах еще в добавок часто включен upnp, так что... > Да вообще. NAT с такими приколами - вообще не защищает.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	45. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от const86 (ok) on 29-Дек-09, 18:26
	> NAT с такими приколами - вообще не защищает. Вроде нат и не для защиты нужен.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	58. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Evgeniy (??) on 30-Дек-09, 01:58
	>А что можно сделать, если у юзера роутер - железка, в которой >до настройки фаерволла не добраться? >"не надо юзать дешевые железки" - не вариант. >Как вариант - все-таки включать брандмауэр виндовс. >Ну да, фигня) >А что делать? менять железки на *wrt - поддерживаемые.   это приколы мелких коробок... Закрывать правилом active ftp ,  20-й порт. там, где можно перестроить правила FW в нужном порядке - ибо часто ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED стоит 1-м. В *wrt - непросто, но можно - в консоли. или скриптом в веб-морде dd-wrt.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	61. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от pavlinux (ok) on 30-Дек-09, 04:51
	А можно отрубать команду PORT, или поменять  PORT на PASV ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
Сообщение от Ъ on 28-Дек-09, 20:21
А вообще ощущение, что чувак прочитал википедию: "Специально для работы FTP протокола через межсетевые экраны, было сделано расширение NAT, называемое NAT-PT (rfc2766), позволяющее транслировать входящие соединения от сервера к клиенту через NAT. В процессе такого соединения NAT подменяет передаваемые данные от клиента указывая серверу истинный адрес и порт с которым сможет соединиться сервер, а потом транслирует соединение от сервера от этого адреса, клиенту на его адрес. Несмотря на все меры и нововведения принятые для поддержки FTP протокола, на практике функция NAT-PT обычно отключается во всех роутерах и маршрутизаторах с целью обеспечения дополнительной безопасности от вирусных угроз." http://ru.wikipedia.org/wiki/FTP
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	36. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Аноним (??) on 29-Дек-09, 05:36
	>[оверквотинг удален] >называемое NAT-PT (rfc2766), позволяющее транслировать входящие соединения от сервера к клиенту >через NAT. В процессе такого соединения NAT подменяет передаваемые данные от >клиента указывая серверу истинный адрес и порт с которым сможет соединиться >сервер, а потом транслирует соединение от сервера от этого адреса, клиенту >на его адрес. Несмотря на все меры и нововведения принятые для >поддержки FTP протокола, на практике функция NAT-PT обычно отключается во всех >роутерах и маршрутизаторах с целью обеспечения дополнительной безопасности от вирусных угроз." > > >http://ru.wikipedia.org/wiki/FTP проблема не только в ftp. Кроме того, если раньше невозможно было заставить пользователя зайти на фтп и набрать там определенные комманды, то сейчас это можно сделать совсем незаметно с помощью браузера
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	51. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Ъ on 29-Дек-09, 19:43
	>[оверквотинг удален] >>поддержки FTP протокола, на практике функция NAT-PT обычно отключается во всех >>роутерах и маршрутизаторах с целью обеспечения дополнительной безопасности от вирусных угроз." >> >> >>http://ru.wikipedia.org/wiki/FTP > >проблема не только в ftp. >Кроме того, если раньше невозможно было заставить пользователя зайти на фтп и >набрать там определенные комманды, то сейчас это можно сделать совсем незаметно >с помощью браузера С помощью товарища браузера это можно делать очень давно, как минимум с того времени как в нем завелись java и flash. Только одно не понятно зачем при этом злоумышленику использовать ftp, если соединение от клиента уже поднято.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	53. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Michael Shigorin (ok) on 29-Дек-09, 21:42
	>браузера [...] java и flash. Только одно не понятно зачем при этом злоумышленику >использовать ftp, если соединение от клиента уже поднято. :)))) Эх, было б ещё смешней, если б не так грустно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	57. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Evgeniy (??) on 30-Дек-09, 01:56
	>>браузера [...] java и flash. Только одно не понятно зачем при этом злоумышленику >>использовать ftp, если соединение от клиента уже поднято. > >:)))) > >Эх, было б ещё смешней, если б не так грустно.   А это приколы мелких коробок. Помнишь, мы как-то давно про это говорили. Закрывать правилом active ftp ,  20-й порт. там, где можно перестроить правила FW в нужном порядке - ибо часто ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED стоит 1-м. В *wrt - непросто, но можно - в консоли. или скриптом в веб-морде dd-wrt.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	60. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Evgeniy (??) on 30-Дек-09, 03:16
	Но, блин, в прошивке ж есть еще пачка всяких там http://svn.dd-wrt.com:8000/dd-wrt/browser/src/linux/brcm/lin... ip_conntrack_sip.h ip_conntrack_h323.h эти-то как обойти.. >>браузера [...] java и flash. Только одно не понятно зачем при этом злоумышленику >>использовать ftp, если соединение от клиента уже поднято. > >:)))) > >Эх, было б ещё смешней, если б не так грустно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	54. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от XoRe (ok) on 30-Дек-09, 00:19
	>С помощью товарища браузера это можно делать очень давно, как минимум с >того времени как в нем завелись java и flash. Только одно >не понятно зачем при этом злоумышленику использовать ftp, если соединение от >клиента уже поднято. Клиент говорит серверу "подключись ко мне на 445 порт". Роутер клиента делает временный проброс порта на 445 порт клиента. Думаем.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	55. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Michael Shigorin (ok) on 30-Дек-09, 00:25
	>Думаем. Я подумал в сторону http://secunia.com/advisories/search/?search=firefox сотоварищи, а Ъ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	67. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от XoRe (ok) on 30-Дек-09, 10:41
	>>Думаем. > >Я подумал в сторону http://secunia.com/advisories/search/?search=firefox сотоварищи, а Ъ? С одной стороны да. С другой... не вижу в сети массовых эпидемий, связанных с уязвимостью FF. Если есть ссылки, поделитесь. Самому интересно, почему при "вроде бы большем" количестве дырок, чем в IE, до сих пор нет новостей про взломы FF.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	73. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Michael Shigorin (ok) on 30-Дек-09, 12:14
	>Если есть ссылки, поделитесь. Что припоминалось -- точно не вспомню, но: http://google.com/search?q=firefox+vulnerability+botnet
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	64. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Ъ on 30-Дек-09, 07:50
	> >>С помощью товарища браузера это можно делать очень давно, как минимум с >>того времени как в нем завелись java и flash. Только одно >>не понятно зачем при этом злоумышленику использовать ftp, если соединение от >>клиента уже поднято. > >Клиент говорит серверу "подключись ко мне на 445 порт". >Роутер клиента делает временный проброс порта на 445 порт клиента. >Думаем. Вариант без ftp. "Клиент" соединяется с любого возможного порта, по любому возможному протоколу и заливает "вирусню" используя уязвимости браузера.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	68. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от XoRe (ok) on 30-Дек-09, 10:41
	>[оверквотинг удален] >>>того времени как в нем завелись java и flash. Только одно >>>не понятно зачем при этом злоумышленику использовать ftp, если соединение от >>>клиента уже поднято. >> >>Клиент говорит серверу "подключись ко мне на 445 порт". >>Роутер клиента делает временный проброс порта на 445 порт клиента. >>Думаем. > >Вариант без ftp. "Клиент" соединяется с любого возможного порта, по любому возможному >протоколу и заливает "вирусню" используя уязвимости браузера. Это вариант без FTP. А для варианта с FTP нужно использовать FTP)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	76. "Обход правил межсетевого экрана с использованием модулей тре..."		+/–
	Сообщение от Ъ on 30-Дек-09, 14:13
	>Это вариант без FTP. >А для варианта с FTP нужно использовать FTP) Если у вас завелся зверек, то уже c ftp он или нет не имеет значения. В любом случае дело не в iptables и не ftp.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
Сообщение от JL2001 (ok) on 28-Дек-09, 21:36
интересно скайп этим тоже пользуется ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	52. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Ъ on 29-Дек-09, 19:47
	>интересно скайп этим тоже пользуется ? Нет. Но он является отличным примером беспомощности межсетевого экранирования.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	86. "Обход правил iptables с использованием модулей трекинга FTP-..."		+/–
	Сообщение от Basiley (ok) on 19-Янв-10, 22:00
	нет, но в атаке на Чайна Гугль - было аналогично Скайпу. p.s. автор материала - категорчески прав. что SPI глобально(недосаточно надежно/безопасно для продакшна как FW), что conntrack хелперы("костыли")-угроза.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема