Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.
FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.LINUX
Введите FGHI ссылку:


Присутствуют сообщения из эхоконференции RU.LINUX с датами от 24 Jan 02 06:01:34 до 23 Aug 24 12:51:58, всего сообщений: 8555
Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение
= Сообщение: 5099 из 8555 ========================================= RU.LINUX =
От   : Victor Sudakov                   2:5005/49          14 May 18 12:28:06
Кому : Anatoly Sablin                                      14 May 18 12:28:06
Тема : Прокси сервер
FGHI : area://RU.LINUX?msgid=2:5005/49+5af922dc
На   : area://RU.LINUX?msgid=2:5020/2140.704+5f34054f
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.LINUX?msgid=2:5005/49+5afce442
==============================================================================
Dear Anatoly,

14 May 18 07:11, you wrote to me:

AS>>> а следовательно для работы ftps нужно совершать дополнительные
 AS>>> пассы руками (удобство? Нет, не слышали), чтобы завести всё.
 VS>> Ты ошибаешься, в AUTH TLS шифруется только логин/пароль, а не
 VS>> control connection целиком. На команды PORT, PASV и др. nat-ы и
 VS>> firewall-ы могут глядеть сколько им угодно.

AS> https://tools.ietf.org/html/rfc2228 (FTP Security Extensions):

RFC4217 посвежее будет.

[dd]

AS> То есть отключение шифрования для команд может быть обоснованно только
 AS> для безопасной среды. Если торчит ftps наружу, то данный вариант не
 AS> подходит и нельзя использовать этот вариант.

VS>> Впрочем видел я где-то ftp-клиент и сервер с поддержкой Kerberos,
 VS>> вот там действительно была жесть: шифровались все команды. Видимо
 VS>> потому и не прижилось.
 AS>>> У тебя, конечно же, используется ftps?
 VS>> На моих серверах AUTH TLS всегда включен (правда сертификат
 VS>> используется самоподписанный). Если кто-то из пользователей
 VS>> использует клиент без поддержки AUTH TLS, то он ССЗБ. Сам я
 VS>> разумеется хожу через AUTH TLS (мой любимый клиент - lftp).

AS> Тау получается, что у тебя командный режим шифруется (в соответствии с
 AS> rfc2228).

Нет, он не полностью шифруется. Могу показать tcpdump, если не веришь. Да собственно вот: http://termbin.com/krml

Но оказывается клиент может управлять этим, посылая или не посылая команду CCC. Мой посылает.

AS> В таком случае, в чём преимущество перед тем же sftp?

Ну, например нагрузка на сервер меньше, не нужно толстые файлы криптовать, достаточно сделать sendfile(). И настройки специально заточенных FTP серверов гораздо гибче, чем у достаточно рудиментарного sftp-server.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322
* Origin: Ulthar (2:5005/49)

К главной странице гейта
Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.075921 секунды