» »

Svetovni dan IPv6 bo 8. junija

Svetovni dan IPv6 bo 8. junija

Slo-Tech - Letos 8. junija se bo zgodil tako imenovani Svetovni dan IPv6, ki bo namenjen preizkusu pripravljenosti opreme največjih spletnih strani na standard IPv6 in osveščanju uporabnikov, da bo IPv6 kmalu precej bolj realen.

Na omenjeni dan bodo povečali količino prometa IPv6 v omrežju, ki trenutno na internetu ne doseže niti 0,05 odstotka. To bodo dosegli tako, da bodo strani, ki se bodo projektu pridružile (sodelovanje so že napovedali Google, Facebook in Yahoo od največjih), na svoji vstopni strani odgovarjale v IPv6. Tako bo na primer poizvedba za www.google.com najprej vrnila odgovor v formatu IPv6 in šele če se odjemalec ne bo odzval, bo odgovorila tudi v starem IPv4.

Na ta dan tudi ne bo deloval whitelisting, ki ga uporablja na primer Google, da strani prek IPv6 res ponuja le uporabnikom na preverjeno ustrezni infrastrukturi. Tega dne bodo vsi, ki imajo naslove IPv6, do strani dostopali na ta način. Internet Society ocenjuje, da večina uporabnikov ne bo občutila sprememb.

55 komentarjev

«
1
2

keworkian ::

Jao, kakšen dan bo še...

Dan dihanje zraka
Dan IPv4
Dan slušalk
Dan pranje perila
Dan kredita
Dan najemništva
Dan drkanja mlohave čune

Tema.

gendale ::

na ta dan bi mogli za 24 ur izklopit ipv4 :)

Lonsarg ::

Ah facebook nardiš ipv6 only pa maš worldwide ipv6 v enem mesecu:D

Matako ::

Ne vem, meni se zdi pa to dobra ideja. Ena izmed težav je, da ISPji in njihovi uporabniki težko testirajo infrastrukturo v velikem obsegu - to bo torej prilika, da se IPv6 oprema in softver preizkusi v realnejših situacijah ...
/\/\.K.

Zgodovina sprememb…

  • spremenil: Matako ()

BaRtMaN ::

Youtube video s C3: [27C3] (en) Recent advances in IPv6 insecurities. Divji zahod!

Skratka, ni NAT-a in kar naenkrat bodo vsi domači uporabniki morali imeti vsaj programski firewall. Kar povečini sicer že imajo, bomo pa videli, kako transaprentne jih bodo za IPv6 naredili vendorji.

Zgodovina sprememb…

  • spremenil: BaRtMaN ()

kriko1 ::

Kako je z našimi ponudniki? Siol ima baje testno fazo kjer lahko zaprosiš za ipv6 naslov, kaj pa Amis?

MrStein ::

Firewall na ruterčku pa je problem, ker.......?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

phantom ::

@BaRtMaN: sej IPv6 podpira NAT, to boš pač na routerju nastavil. Če proizvajalci routerju ne bodo šalabajzerji, bo po defaultu nastavljen NAT.
~
~
:wq

Lonsarg ::

BaRtMaN je izjavil:


Skratka, ni NAT-a in kar naenkrat bodo vsi domači uporabniki morali imeti vsaj programski firewall.


NAT nima nič z firewallom, še vedno ga ima komot vsak ipv6 router, oziroma skoraj ziher ga bo imel.

Kot drugo pa je INBOUND firewall itak brezveze. Torej tak na routerju. Maš vdor preko trojanca, firewall ne nuca, maš vdor preko lukenj v raznih FTP,HTTP serverjih, firewall spet ne nuca, ker je uporabnik itak forwardiru port mimo firewalla...

Nuca edino OUTBAND firewall, ki pa ne more bit drugačen kot softwerski, da se na podlagi aplikacije odloči, če pusti povezavo.

Tak da jaz upam, da se firewalla ne bo vklaplalo na home routerjih, sam dodatni problemi z port forwarding...


phantom je izjavil:

@BaRtMaN: sej IPv6 podpira NAT, to boš pač na routerju nastavil. Če proizvajalci routerju ne bodo šalabajzerji, bo po defaultu nastavljen NAT.

Če bo po defultu nastavlen NAT grem proizvajalca z pištolo ustrelt. Če bo pa po defultu nastavlen firewall bom pa samo nesrečen.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

MrStein ::

Kaj pomaga firewall, če je malware že na mašini?

PS: Inbound filter rabiš zaradi MS Virus Import Service-a. (port 445 al kje je že dandanes)

Lonsarg je izjavil:


Če bo po defultu nastavlen NAT grem proizvajalca z pištolo ustrelt.

Sva že dva. (tri, ker poznam še enega)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Lonsarg ::

Virus Import Service deluje samo če že 10-15 let nisi windows updajta zagnal:)

In če tako dolgo nisi updajta zagnal maš itak še 1000 drugih lukenj in si tako ali tako že okužen z ali brez firewalla.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

MrStein ::

Aha, trdiš, da je port 445 danes varen?

Vsi, ki svetujejo, da ga se blokira, so za časom?

OK.

Varen je: Azgard
Ni varen: ??? (bom sproti dopolnjeval)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

JanZorz_go6 ::

gendale je izjavil:

na ta dan bi mogli za 24 ur izklopit ipv4 :)


NA ta dan še ne, morda pa enkrat proti koncu leta naredimo še en takšen dan, tokrat z ugasnjenim IPv4 :)

BTW, pobudi se je včeraj pridružil tudi BBC. Cool :)

Jan Žorž
--
http://go6.si/

Lonsarg ::

MrStein je izjavil:

Aha, trdiš, da je port 445 danes varen?

Vsi, ki svetujejo, da ga se blokira, so za časom?

OK.

Varen je: Azgard
Ni varen: ??? (bom sproti dopolnjeval)


netbios ne obstaja na ipv6, ipv4 pa seveda naj ostane firewalan, zaradi kakih zastarelih XPjev v networku.

MrStein ::

Port 445 je odprt na IPv6 (Windows).

Ponavljam vprašanje: Je OK, ali nak FW blokira?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Na moji nefirewalani mašini port scan pravi da 445 ni odprt in to na ipv4.(windows 7), tvoj podatek velja za v koš vredne operacijske sisteme.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

SasoS ::

porte 137-139,445 (IPv4) najbrž blokirajo že sami ISPji...vsaj nazadnje ko sem testiral mi ga ni uspelo spraviti skozi (gledal z tcpdump na linuxu). Sam OS pa nima nobene take zaščite, saj drugače ne bi delal smb preko subnetov...
Kako je z IPv6 ne vem.

MrStein ::

Azgard, netstat ti lepo pove, kaj je odprto in kaj ni. Torej?

Recimo na Visti je odprta vsa "trojica" (IPv4). Na IPv6 pa 135 in 445.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

In na Windows 7 enako (kot na Visti).

Verjetno so za v koš ???
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

To je lokalno, če iz zunanjega IPja prihaja paket na 445 ga ziher ignorira, močno dvomim da se kar odziva z imeni sharov lol. Če pa se sem pa v zelo hudi zmoti:)

MrStein ::

Ja, počakajmo, da še kdo drug pove mnenje...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

CvEtKo ::

Porti za network/file share so po moje tudi blokirani na strani ISPja.

@phantom: Ne vem zakaj bi sploh kdo hotel imeti NAT pri IPv6? In upam, da tega ISPji res ne bodo prevzeto ponujali na svoji opremi.
Do one thing every day that scares you.

MrStein ::

Jasno je, da so blokirani pri ISP.
Ni to vprašanje. Vprašanje, je ali ima Azgard prav, ko reče "Virus Import Service deluje samo če že 10-15 let nisi windows updajta zagnal:)".

Oziroma odgovor na to, neodvisno od vpletenih oseb.

Zaradi odsotnosti argumentov za drugačno mnenje, ostajam jaz pri "block it NOW!".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

445 sicer sploh ni moj point. Firewall, ki po defultu blokira cel spekter je IMO neumnost tudi če 445 še vedno je nevaren. Naj blokira potem samo 445 in ostalo kompanijo, ki je za ostati v mreži, ne pa cel spekter, da moraš za vsak drek port forwarding delat. Port forwardinga nočem v routerju videt.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

SasoS ::

Port forward je del NATa in kot si že prej napisal, to nima veze s firewallom.
Kako imaš pa firewall nastavljen je pa čist odvisno od tebe. Lahko imaš nastavljeno da blokira samo 137-139,445...čeprav je dobra praksa, da je prepovedano vse razen kar ni eksplicitno dovoljeno.

MrStein ::

Za firmo ja, ko ima (no, naj bi imel) IT, ki ve kaj dela in zakaj.

Za doma pa imaš vsaj UPnP (s svojimi bugi, hvala Microsoft, spet).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Lonsarg ::

Jah v teoriji je najbolš, da je prepovedan vse, potem se pa UPNP uporablja za dinamično avtomatsko odpiranje portov. Ampak potem v praksi ugotoviš da na žalost UPNP ni vedno uporabljen v programih, recimo zakaj program kot je Filezila ne podpira UPNP je beyond me.

Rešitev tega problema bi bla, da bi štručkoti ipv6 zasnovali tako, da je Upnp en in edini način za odpiranje portov, da drugače kot prek UPNP sploh se ne bi dalo, to bi bla fajn rešitev. Druga najbolša rešitev je po mojem mnenju, da ni firewala, ki bi kar vse blokiral, ampak zgleda nismo na istem glede druge najbolše.

MrStein ::

Lonsarg je izjavil:

445 sicer sploh ni moj point. Firewall, ki po defultu blokira cel spekter je IMO neumnost tudi če 445 še vedno je nevaren. Naj blokira potem samo 445 in ostalo kompanijo, ki je za ostati v mreži, ne pa cel spekter, da moraš za vsak drek port forwarding delat. Port forwardinga nočem v routerju videt.

Ja, torej imamo, FW ki blokira:
- port 445
- kaj pa porti 135-139???
- kaj pa še eni podobni porti, katere še noben ni omenil?
- kaj pa NFS server, ki ga je Franc instaliral, da lahko z nekega unixa dostopa? Seveda brez access kontrole?
- itd.???

Sicer pa je moje vprašanje še vedno:
"Kaj pomaga (OUTBAND(???)) firewall, če je malware že na mašini?"

Lonsarg je izjavil:


Rešitev tega problema bi bla, da bi štručkoti ipv6 zasnovali tako, da je Upnp en in edini način za odpiranje portov, da drugače kot prek UPNP sploh se ne bi dalo, to bi bla fajn rešitev. Druga najbolša rešitev je po mojem mnenju, da ni firewala, ki bi kar vse blokiral, ampak zgleda nismo na istem glede druge najbolše.

To je seveda nonsens.

socket();bind();listen()
in basta.

socket();bind();listen();try_to_convince_nearby_routers_to_permit_the_operations_on_beginning_of_the_line()
je popolnoma nepotrebno kompliciranje.

Kar seveda pomeni, da bodo 100% nekaj takega naredili.

Enako kot se na vsako komunikacijo zdaj pritisne HTTP ovojnica. Ker je s tem kao bolj simpl in varno :O
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Lonsarg ::

Stvar protokola je, da defirina kateri porti se nucajo za medmrežno komunikacijo, če se res ne da tehnično izvest da mašina ve ali prihaja paket iz mreže ali iz zunaj, kar se kolikor jaz vem komot da izvest. Če se vse fajn definira(kar upam da se pri 15-letnem in več pisanju ipv6 protokola je), potem že od začetka daš piscu ipv6 aplikacije v vednost kako mora aplikacijo napisat. Če pa pametni dečkoti v kak draft ruknejo, da se "pričakuje" firewall potem pa si škodo že naredil in boš spet imel workarounde(firewalle) kot pri ipv4.

Protmalweru ti noben firewall ne nuca. Firewall je samo workaround za OS stupidity. Seveda se ima firewall v kakem IT, da maš dvojno zaščito, ampak brez firewalla mora tudi že biti vse varno.

MrStein ::

Lonsarg je izjavil:

če se res ne da tehnično izvest da mašina ve ali prihaja paket iz mreže ali iz zunaj,

???
Sprašuješ, če ruter ve, na katerem portu (fizčnem, vtičnici) je paket prispel???


Torej, tretjič, v čem je smisel outbound firewall-a na PC-ju?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Nikjer nisem outband firewalla zagovarjal, ne vem od kje si ga zdej privlekel Njegova naloga načeloma sploh ni security. Smisel pa še kako ima, se pa ja zgodi da hočeš kakemu programu blokirat dostop.

Pa ne sprašujem če router ve kje je prispel paket a res ne bereš kaj sem napisal. Gre se za tvoj slavni port 445 z kompanijo ostalih podobnih portov. Operacijski sistem VE ali prihaja iz networka paket (192.xxx.xxx.xxx) ali prihaja iz zunaj in ne rabi firewalla za LAN only comunication čemur je port 445 namenjen.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

MrStein ::

Od tu:

Lonsarg je izjavil:


Nuca edino OUTBAND firewall, ki pa ne more bit drugačen kot softwerski, da se na podlagi aplikacije odloči, če pusti povezavo.


Berem, samo če tak pišeš...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Lonsarg ::

Sej sm ti razlužu zakaj ga nuca, kaki aplikaciji kdaj ne dovoliš na internet ane. Zakaj točno si se odločil najino debato o routerjih ignorirati in kar naenkrat privlekel en moj stavek iz 50 postov nazaj ko sem mimogrede omenil software firewall mi ni jasno.

Mene namreč resnično zanima/skrbi, če so ipv6 tako slabo definirali, da se bojo ipv6 aplikacije/naprave še vedno zahtevale firewall za varno delovanje. Torej za primer če vzameva popularno Windows mašino brez zunanjega firewala in njen 445 port. Naprimer windows server je tak primer, te ponavadi nimajo še dodatnih firewalov zadaj, vsaj ne če se trudi imeti "čisto" mrežo.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

MrStein ::

Lonsarg je izjavil:

Sej sm ti razlužu zakaj ga nuca, kaki aplikaciji kdaj ne dovoliš na internet ane. Zakaj točno si se odločil najino debato o routerjih ignorirati in kar naenkrat privlekel en moj stavek iz 50 postov nazaj ko sem mimogrede omenil software firewall mi ni jasno.

Zato, ker si ti to omenil, jaz pa sem vprašal, zakaj je to dobro.
Rad imam stvari dokončane.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SasoS ::

Hm...berem tole in se čudim da se vam zdi firewall en nuisance namesto da bi videli da je to pač nujna zadeva. Zakaj imamo na vratih ključavnice ali vrata ne vedo da si to vendar ti ko hočeš vstopiti (malo butast primer, ampak ne tako zelo daleč od primerjave).
Stack, najsibo IPv4 ali IPv6 ne more vedet, ali je nek paket pooblaščen da pride v sistem ali ne. To je naloga firewalla, ne tlačit vse stvari skupaj. Pa boš rekel, čemu koristi 445 odprt, naj to zapre že stack sam...resno? Nisi nikoli povezoval več subnetov preko VPNja, ker je folk hotel brskati po mašinah/serverjih na drugi lokaciji. Ok...potem naj stack dovoli 445 (in kompanijo) samo za RFC private IPje. Naka, kaj če firma uporablja za svoj subnet public IPje (dandanes se to ob pomanjanju IPv4 IPjev čudno sliši, vendar še ni tako dolgo nazaj, ko je Arnes šolam in ustanovam dodeljeval cele ali pa pol C klase in so iz tega naredili lokalno omrežje - si predstavljaš ta razstur brez border firewalla?).
UPNP je druga zgodba. Si res želiš da aplikacija sporoči firewallu katere porte naj ji odpre? Jaz si ne..."halo tukaj viru...ahem, skype, daj mi prosim odpri kar vse porte. rabim nujno" :)). Jaz ne vidim problema, da ne bi imel na meji nekega firewalla, ki ti (podobno kot danes NAT) blokira vse incoming zahteve. Tiste 3 porte ki jih rabiš na notri odprte lahko vsaka mama poklika preko web interfaca (če pa ne zna, pa tudi ne rabi met odprte). Za vse ostalo (dinamično odpiranje ftp portov, DirectPlay ali karkoli že je) mora poskrbeti stateful firewall sam (ali pa kak namenski layer 7 analyzer) in seveda da se protokole definira tako, da se ve na katerih portih se pogovarjajo.

SasoS ::

Še to...že sedaj je malo morje domačih naprav, ki so priklopljene na mrežo - NAS diski, televizije, NMT predvajalniki, telefoni in tega bo vedno več (hladilniki, luči, pametne hiše, itd..) ki imajo zelo malo ali celo nič avtentikacije. Jaz nočem imeti na vsaki napravi 25 mestno geslo, zato da bodo hackerji lahko dan in noč poskušali gesla. Daj eno linux mašino na net z odprtih ssh, v roku dveh dneh boš v logih upazil tam od 3000-6000 različnih poskusov dictionary attackov. Samo en slabo zaščiten account je dovolj, da si hackerju odprl vrata. Ne vem, jaz rajši odprem take zadeve na nek manjši rang IPjev in s tem odrežem 99.99% interneta stran...

Senitel ::

Ma firewall te pač ščiti proti kakšnim sistemskim oslarijam. Ala: nimamo pojma kolk lukenj mamo v našem software-u, boljš da se sem gor ne povezuje glih vsak.

Zakaj se delamo, da je med incoming in outgoing povezavami neka huda razlika? Virus je lahko glih tako problem, če posluša, ali pa, če se povezuje nekam ven. Če posluša se ga še lažje opazi...

Lonsarg ::

Ko imaš enkrat virus je konec finito, ko je sistem compromized ti UPNP nič več ne škodi, ker je itak vsa škoda narjena. Drugje kot v že compromized sistemu pa UPNP tako ali tako ne dela škode.

Gleda VPNja pa se v primeru vključitve port 445 lepo začne odzivati tudi na zunanje IP-je seveda z primernim vprašanjem po geslu. Brez kakršngakoli firewala se to da narest.

Anekdota:
Ko bo moj hladilnik del mojega subneta bom zelo nesrečen, ko bom v trgovini hotel kupiti par stvari, pa bom hotel preveriti vsebino, koliko imam že doma in bom mel probleme. Ko sem kupil hladilnik sem se z njim lepo pogovoril da hočem z določenim geslom do njega dostopat, v trgovini pa ugotovim, da mi jo je firewall zagodil. Jaz kot geek se bom preko remote povezave povezal na svoj server pa od tam spremenil router nastavitve. En laik bo pa v tem primeru klical na LG da hoče vrnit hladilnik...

revvs ::

Zdaj bi že lahko bil IPv9. Ali kdo zna opisati IPv2 ?

Matevžk ::

IPv2 se na internetu ni nikoli uporabljal (AFAIK). IPv6 je za trenutne razmere čez glavo (in najbrž za nadaljnjih vsaj sto let), samo počasi bi ga bilo dobro že uvesti ...
lp, Matevžk

techfreak :) ::

IPv6 je za trenutne razmere čez glavo (in najbrž za nadaljnjih vsaj sto let)

Si prepričan?
640K ought to be enough for anybody

levaky ::

No, res je težko rečt da bo za toliko časa dovolj, samo 5x10^28 na vsakega državljana se mi zdi dovolj za kar nekaj časa:)

Matevžk ::

Z levakyjem deliva skupno prepričanje. :) V primeru divjega širjenja naših naprav kam izven meja orbite našega planeta komunikacija tako ali tako ne bo potekala v obliki IP.
lp, Matevžk

MrStein ::

Senitel je izjavil:


Zakaj se delamo, da je med incoming in outgoing povezavami neka huda razlika? Virus je lahko glih tako problem, če posluša, ali pa, če se povezuje nekam ven. Če posluša se ga še lažje opazi...

Ja, na "Level 1 Internet Wizard" še ni to znanje obvezno, zgleda...
(opazi, kako trikrat vprašam, kaj koristi outbound blokada in kako dobim nič odgovorov)

SasoS je izjavil:


UPNP je druga zgodba. Si res želiš da aplikacija sporoči firewallu katere porte naj ji odpre? Jaz si ne..."halo tukaj viru...ahem, skype, daj mi prosim odpri kar vse porte. rabim nujno" :)). Jaz ne vidim problema, da ne bi imel na meji nekega firewalla, ki ti (podobno kot danes NAT) blokira vse incoming zahteve. Tiste 3 porte ki jih rabiš na notri odprte lahko vsaka mama poklika preko web interfaca (če pa ne zna, pa tudi ne rabi met odprte).

Torej mame nimajo kaj fotk vnukeca dobit? Ali poslat?

Za vse ostalo (dinamično odpiranje ftp portov, DirectPlay ali karkoli že je) mora poskrbeti stateful firewall sam (ali pa kak namenski layer 7 analyzer) in seveda da se protokole definira tako, da se ve na katerih portih se pogovarjajo.

socket()/bind()/listen() je ravno "dinamično" odpiranje porta.
Kako pol tone layer 7 analyzerja naredi stvar boljšo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SasoS ::

MrStein je izjavil:

Torej mame nimajo kaj fotk vnukeca dobit? Ali poslat?


Kdaj si moral nazadnje za pošiljanje ali prejemanje fotk odpirati kakršnekoli porte? Zakaj bi to kadarkoli bilo potrebno?

MrStein je izjavil:

socket()/bind()/listen() je ravno "dinamično" odpiranje porta.
Kako pol tone layer 7 analyzerja naredi stvar boljšo?


Če delaš aplikacijo uporabi standardni protokol. Če delaš nov protokol, si izberi port za server in se tega drži. Kako bodo pa klienti vedeli na kater port se priklopit, če boš na serverju ga vsakič alociral dinamično?

SasoS ::

Lonsarg je izjavil:

Ko imaš enkrat virus je konec finito, ko je sistem compromized ti UPNP nič več ne škodi, ker je itak vsa škoda narjena. Drugje kot v že compromized sistemu pa UPNP tako ali tako ne dela škode.


Se ne bi čisto strinjal...zato pa so dodatne zaščite. Ali misliš da je najbolje da takoj ko dobiš virus kar pokličeš avtorje, jim zdrdraš številke kreditnih kartic in tekočih računov ker je že itak konec, finito...

Lonsarg je izjavil:

Gleda VPNja pa se v primeru vključitve port 445 lepo začne odzivati tudi na zunanje IP-je seveda z primernim vprašanjem po geslu. Brez kakršngakoli firewala se to da narest.


VPN ni nujno da teče na istem strežniku kot je share...seveda pa bi lahko programčku (oz. dialogu ali karkoli že je), kjer izbiraš kdaj in na katere IPje se port 445 odziva lahko rekli, hmm, firewall? :)

Lonsarg je izjavil:

Anekdota:
Ko bo moj hladilnik del mojega subneta bom zelo nesrečen, ko bom v trgovini hotel kupiti par stvari, pa bom hotel preveriti vsebino, koliko imam že doma in bom mel probleme. Ko sem kupil hladilnik sem se z njim lepo pogovoril da hočem z določenim geslom do njega dostopat, v trgovini pa ugotovim, da mi jo je firewall zagodil. Jaz kot geek se bom preko remote povezave povezal na svoj server pa od tam spremenil router nastavitve. En laik bo pa v tem primeru klical na LG da hoče vrnit hladilnik...


Router nastaviš 1x, ne vsakič ko si v štacuni...in to za vse naprave, ki jih imaš v mreži. Ne vem, raje to, kot da na vsaki napravi vsakič znova nastavljam gesla, ACLje za dostop, upam da ni kakšnih skritih odprtih backdoorov ipd. Border firewall efektivno zapre dostop do celotnega lokalnega omreža, brez da bi moral vsako napravo posebej nastavljati z mislijo da bo dosegljiva celemu svetu in da bo vsaka manjša napakica v konfiguraciji pomenila, da bodo vsi ostali vedeli kakšen jogurt pijem za zajtrk.

Zgodovina sprememb…

  • spremenilo: SasoS ()

Senitel ::

SasoS je izjavil:


Kdaj si moral nazadnje za pošiljanje ali prejemanje fotk odpirati kakršnekoli porte? Zakaj bi to kadarkoli bilo potrebno?

Naceloma lahko software za posiljanje slik uporablja FTP. In se lahko komu zdi dobra ideja uporabit passive FTP.

SasoS je izjavil:

Če delaš aplikacijo uporabi standardni protokol. Če delaš nov protokol, si izberi port za server in se tega drži. Kako bodo pa klienti vedeli na kater port se priklopit, če boš na serverju ga vsakič alociral dinamično?

Ce pod dinamicno razumes random, potem je problem. Ce pa dinamicno pomeni, da se port prebere iz neke konfiguracije, potem je pa to prakticno nuja za vsako sreznisko aplikacijo.

SasoS ::

Senitel je izjavil:

Naceloma lahko software za posiljanje slik uporablja FTP. In se lahko komu zdi dobra ideja uporabit passive FTP.


Meni tako passive kot active FTP delata čez vse firewalle pa nisem nobenih portov odpiral z izjemo začetnega 21. Za vse ostalo poskrbi firewall sam.

MrStein ::

SasoS je izjavil:

MrStein je izjavil:

Torej mame nimajo kaj fotk vnukeca dobit? Ali poslat?


Kdaj si moral nazadnje za pošiljanje ali prejemanje fotk odpirati kakršnekoli porte? Zakaj bi to kadarkoli bilo potrebno?

Ko boš enkrat probal, boš opazil, da brez odprtine na FW prenaša podatke z brzino poštnega goloba.


MrStein je izjavil:

socket()/bind()/listen() je ravno "dinamično" odpiranje porta.
Kako pol tone layer 7 analyzerja naredi stvar boljšo?


Če delaš aplikacijo uporabi standardni protokol. Če delaš nov protokol, si izberi port za server in se tega drži. Kako bodo pa klienti vedeli na kater port se priklopit, če boš na serverju ga vsakič alociral dinamično?

Kaj ime to veze z mojim vprašanjem?

Senitel je izjavil:

SasoS je izjavil:


Kdaj si moral nazadnje za pošiljanje ali prejemanje fotk odpirati kakršnekoli porte? Zakaj bi to kadarkoli bilo potrebno?

Naceloma lahko software za posiljanje slik uporablja FTP. In se lahko komu zdi dobra ideja uporabit passive FTP.

Babica, imam rešitev glede počasnosti prenosa slik! Uporabi ef tee pe!!!

Kva?

Še dobro, da vi ne dizajnirate opremo stanovanj, bi folk rabil doktorat, že da zjutraj od postelje do WC-ja pride.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IPv6 (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Omrežja in internet
36393239 (11254) Klemen86
»

Evropi zmanjkalo naslovov IPv4 (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
10923271 (18358) Gapi
»

OŠO Optika IPv6

Oddelek: Omrežja in internet
343602 (2233) Bakunin
»

Še Severni Ameriki zmanjkalo naslovov IPv4

Oddelek: Novice / Omrežja / internet
3913762 (10033) Bakunin
»

RIPE razdeljuje zadnje evropske naslove IPv4

Oddelek: Novice / Omrežja / internet
3812888 (10603) JesusChrist

Več podobnih tem