On Wednesday 21 November 2001 11:01 am, Ingvarr Zhmakin wrote: > > > > > 2) Есть ли разница между: > > > > > -j DNAT --to-destination <local_ip>:<port> > > > > > и > > > > > -j REDIRECT --to-port <port> > > > > > > > > В первом случае, переводится и порт и адрес, во втором только порт. > > > > Т.е. если надо перебросить трафик на внутренний сервер > > > > используется DNAT если на другой порт этой же системы то REDIRECT. > > > > > > По man iptables тоже так выходит. > > > Но почему тогда во всех FM про transparent proxying via Squid приводят > > > второй вариант? > > > > Не знаю, никогда не общался со squid-ом. Наверно расчет на то что squid и > > firewall оба на одной машине стоят. > > Ну стоят. И что с того? > Или это в плане того, что если там же gateway, то адресовано все ему??? >
Я не видел тех FM о которых ты пишешь, судя по всему феня в том что пользователи думают что соединяются с скажем www.yahoo.com а твой gateway их при помощи REDIRECT и какой-то матери втихаря ( transparently ) переправляет на свой собственный порт на котором сидит squid. > > > > > > 5) При работе courier-imap через ssl авторизация будет > > > > > шифроваться? > > > > > > > > В этом вся феня :) > > > > > > То есть разрешив только ssl, я могу забыть про дополнительную шифровку > > > авторизации? > > > > Ну, подслушать тебя, пожалуй никто не подслушает. Если не вспоминать про > > восможность MITM атак. > > Каких атак? > Man-In-The-Middle атак. Идея там простенькая, а имплементация довольно сложная. Но если ты боишся что твой нешифрованный трафик могут подслушать то стоит знать. Представь, что у тебя два шифрующих клиента ( типа IMAP server и IMAP client ), а я злой хакер подсевший на один из сегментов. Значит один клиент шлет другому аутентикацию, а я ( как злой хакер ) при помощи вещей типа ARP spoofing и тому подобных прелестей получаю этот пакет себе. 1-ому клиенту я посылаю ответ ( spoof-еный ) а 2-ому сам посылаю запрос на аутентикацию. Таким образом, я устанавливаю две шифрованных сессии одну с 1-ым, а вторую со 2-ым клиентом а сам сижу посередине и между ними пакеты гоняю. Естественно что расшифровать я после етого могу обе сессии, и благополучно извлекаю твой IMAP трафик прямо изнутри твоего "шифрованного" канала.