информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяАтака на InternetГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Очередное исследование 19 миллиардов... 
 Оптимизация ввода-вывода как инструмент... 
 Зловреды выбирают Lisp и Delphi 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
Объясните про rsh, плз. 04.08.04 06:54  
Автор: void <Grebnev Valery> Статус: Elderman
Отредактировано 04.08.04 07:49  Количество правок: 1
<"чистая" ссылка> <обсуждение закрыто>
Извините за глупый вопрос ниже, но RFC просто нет времени взглянуть, сейчас самому.

Проблема:
C циски (ip = 213.x.y.z) по rsh сливается "ip accounting checkpoint" на BSD (ip = 213.x.y.z).
(srv# rsh -l root 213.x.y.z show ip accounting checkpoint)

Некоторое время это работало.
Решил "учшить" старый ACL на циске, где для коллектора было (и ясен пень, всё работало):

permit tcp host 217.x.y.z host 213.x.y.z

"Улучшил", где для коллектора на циске разрешил только shell/cmd (tcp, port 514):

permit tcp host 217.x.y.z host 213.x.y.z eq 514

После "улучшения" перестало работать. В логах BSD denied пакеты на цискин TCP порт 1023:
Aug 4 13:23:46 213.x.y.z 4275: 17:21:49: %SEC-6-IPACCESSLOGP: list LAN-IN> denied tcp 217.x.y.z(1011) -> 213.x.y.z(1023), 1 packet

Добавляю этот идиотизм в пермит, в ACL на циске:

permit tcp host 217.x.y.z host 213.x.y.z eq 514
permit tcp host 217.x.y.z host 213.x.y.z eq 1023

Работает !!!
Немного рихтую:

permit tcp host 217.x.y.z host 213.x.y.z eq 514
permit tcp host 217.x.y.z host 213.x.y.z eq established

Снова РАБОТАЕТ!

Вот я и думаю.... Почему циске недостаточно одной пары сокетов, с одним серверным портом 514?
Это что, норма для rsh? Зачем 1023 порт на циске?

Спасибо. Извините за ленивость. Вернее сейчас времени не осталось разбираться самому с RFC rsh.
Подсказали. 05.08.04 02:28  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Вот дали ссылку.
http://www.private.org.il/mini-tcpip.faq.html

Теперь ясно что для вторичного сокета на клиенте BSD не обойтись без того, что выше в ACL на циске было найдено опытным путём:

! для первичного соединения клиента с циской
!
permit tcp host 217.x.y.z host 213.x.y.z eq 514
!
! для вторичного соединения циски с клиентом
! это только ACK ответы клиента на PUSH от циски к клиенту для вторичного потока "... to be used as standard error..."
!
permit tcp host 217.x.y.z host 213.x.y.z eq [b]established [/b]
!
Когда понятно, что происходит - жизнь веселее :)
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach