= Сообщение: 5099 из 8555 ========================================= RU.LINUX = От : Victor Sudakov 2:5005/49 14 May 18 12:28:06 Кому : Anatoly Sablin 14 May 18 12:28:06 Тема : Прокси сервер FGHI : area://RU.LINUX?msgid=2:5005/49+5af922dc На : area://RU.LINUX?msgid=2:5020/2140.704+5f34054f = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.LINUX?msgid=2:5005/49+5afce442 ============================================================================== Dear Anatoly,
14 May 18 07:11, you wrote to me:
AS>>> а следовательно для работы ftps нужно совершать дополнительные AS>>> пассы руками (удобство? Нет, не слышали), чтобы завести всё. VS>> Ты ошибаешься, в AUTH TLS шифруется только логин/пароль, а не VS>> control connection целиком. На команды PORT, PASV и др. nat-ы и VS>> firewall-ы могут глядеть сколько им угодно.
AS> То есть отключение шифрования для команд может быть обоснованно только AS> для безопасной среды. Если торчит ftps наружу, то данный вариант не AS> подходит и нельзя использовать этот вариант.
VS>> Впрочем видел я где-то ftp-клиент и сервер с поддержкой Kerberos, VS>> вот там действительно была жесть: шифровались все команды. Видимо VS>> потому и не прижилось. AS>>> У тебя, конечно же, используется ftps? VS>> На моих серверах AUTH TLS всегда включен (правда сертификат VS>> используется самоподписанный). Если кто-то из пользователей VS>> использует клиент без поддержки AUTH TLS, то он ССЗБ. Сам я VS>> разумеется хожу через AUTH TLS (мой любимый клиент - lftp).
AS> Тау получается, что у тебя командный режим шифруется (в соответствии с AS> rfc2228).
Нет, он не полностью шифруется. Могу показать tcpdump, если не веришь. Да собственно вот: http://termbin.com/krml
Но оказывается клиент может управлять этим, посылая или не посылая команду CCC. Мой посылает.
AS> В таком случае, в чём преимущество перед тем же sftp?
Ну, например нагрузка на сервер меньше, не нужно толстые файлы криптовать, достаточно сделать sendfile(). И настройки специально заточенных FTP серверов гораздо гибче, чем у достаточно рудиментарного sftp-server.