[Comm] Связь с компьютером за NAT

[Comm] Связь с компьютером за NAT

[Jonan]

Здравствуйте!

Есть ли возможность организовать связь с компьютером в локальной сети 
(за NAT), то есть выйти на него снаружи. Например, на свой рабочий комп 
(IP из пула для локальных сетей) с домашнего.
То есть я понимаю, что одна из целей NAT - чтобы снаружи машины в 
локалке не видели. Но, может, есть способ обойти?
Интерусуют варианты Линукс - Линукс,  с Линукс на Вин, с Вин на Линукс

                                                Йонан

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

Jonan wrote:

> Здравствуйте!
>
> Есть ли возможность организовать связь с компьютером в локальной сети 
> (за NAT), то есть выйти на него снаружи. Например, на свой рабочий 
> комп (IP из пула для локальных сетей) с домашнего.
> То есть я понимаю, что одна из целей NAT - чтобы снаружи машины в 
> локалке не видели. Но, может, есть способ обойти?
> Интерусуют варианты Линукс - Линукс,  с Линукс на Вин, с Вин на Линукс
>
можно:

1. сделать, чтобы этот комп сам инициировал канал связи например
периодически, но если дома у тебя не выделенный IP, или
динамический, то ничего не получится...

2. можно зайти по ССШ/телнет на сервак, который делает NAT а оттуда по
ССШ/Телнет на свой комп, но для этого надо иметь логин на сервере

3. если на компе стоит вин, то без доп софта зайти извне невозможно
(исключая конечно всякие дырки;-), хотя в 2К вроде есть Телнет-сервис,
но он страшненький;)

Re: [Comm] Связь с компьютером за NAT

[Владимир]

Привет всем.
Jonan пишет:

> Здравствуйте!
>
> Есть ли возможность организовать связь с компьютером в локальной сети 
> (за NAT), то есть выйти на него снаружи. Например, на свой рабочий 
> комп (IP из пула для локальных сетей) с домашнего. 

DNAT на шлюзе.

>
> То есть я понимаю, что одна из целей NAT - чтобы снаружи машины в 
> локалке не видели. 

Какая задача поставлена, та и решается.

> Но, может, есть способ обойти?
> Интерусуют варианты Линукс - Линукс,  с Линукс на Вин, с Вин на Линукс 

Работа шлюза от ОС соединияющихся машин не зависит.

-- 
Best regards
Vladimir

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Thu, 17 Oct 2002 17:32:47 +0400
"Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:

> Jonan wrote:

> > Есть ли возможность организовать связь с компьютером в
> > локальной сети (за NAT), то есть выйти на него снаружи.
> > Например, на свой рабочий комп (IP из пула для локальных
> > сетей) с домашнего. То есть я понимаю, что одна из целей NAT
> > - чтобы снаружи машины в локалке не видели. Но, может, есть
> > способ обойти? Интерусуют варианты Линукс - Линукс,  с Линукс
> > на Вин, с Вин на Линукс

Уважаемый Йонан!
Вы должны понимать, что одного такого письма в лист рассылки
может оказаться достаточно, чтобы разрушить Вашу карьеру. Зависит
от того, где Вы работаете и контракт какого содержания Вы
подписали.

> можно:
> 
> 1. сделать, чтобы этот комп сам инициировал канал связи
> например периодически, но если дома у тебя не выделенный IP,
> или динамический, то ничего не получится...
> 
> 2. можно зайти по ССШ/телнет на сервак, который делает NAT а
> оттуда по ССШ/Телнет на свой комп, но для этого надо иметь
> логин на сервере
> 
> 3. если на компе стоит вин, то без доп софта зайти извне
> невозможно(исключая конечно всякие дырки;-), хотя в 2К вроде
> есть Телнет-сервис, но он страшненький;)
> 
Любого из этих действий достаточно для судебного преследования.
Если удастся дожить до суда, так как оперативники при аресте
могут сильно изувечить. Им же тоже нужно тренироваться.

Олег! В соответствии с действующими Правилами Commynity, я
настаиваю, чтобы в листе рассылки не обсуждались
подобные противоправные действия. Эти темы (наряду с поиском
способов взлома ПО) должны быть явным образом запрещены
Правилами. Правила должны быть отредактированы и опубликованы (в
эхах это делается строго раз в месяц).

_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

Sergey S. Skulachenko wrote:

>On Thu, 17 Oct 2002 17:32:47 +0400
>"Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:
>
>  
>
>>Jonan wrote:
>>    
>>
>
>  
>
>>>Есть ли возможность организовать связь с компьютером в
>>>локальной сети (за NAT), то есть выйти на него снаружи.
>>>Например, на свой рабочий комп (IP из пула для локальных
>>>сетей) с домашнего. То есть я понимаю, что одна из целей NAT
>>>- чтобы снаружи машины в локалке не видели. Но, может, есть
>>>способ обойти? Интерусуют варианты Линукс - Линукс,  с Линукс
>>>на Вин, с Вин на Линукс
>>>      
>>>
>
>Уважаемый Йонан!
>Вы должны понимать, что одного такого письма в лист рассылки
>может оказаться достаточно, чтобы разрушить Вашу карьеру. Зависит
>от того, где Вы работаете и контракт какого содержания Вы
>подписали.
>
>  
>
>>можно:
>>
>>1. сделать, чтобы этот комп сам инициировал канал связи
>>например периодически, но если дома у тебя не выделенный IP,
>>или динамический, то ничего не получится...
>>
>>2. можно зайти по ССШ/телнет на сервак, который делает NAT а
>>оттуда по ССШ/Телнет на свой комп, но для этого надо иметь
>>логин на сервере
>>
>>3. если на компе стоит вин, то без доп софта зайти извне
>>невозможно(исключая конечно всякие дырки;-), хотя в 2К вроде
>>есть Телнет-сервис, но он страшненький;)
>>
>>    
>>
>Любого из этих действий достаточно для судебного преследования.
>Если удастся дожить до суда, так как оперативники при аресте
>могут сильно изувечить. Им же тоже нужно тренироваться.
>
>Олег! В соответствии с действующими Правилами Commynity, я
>настаиваю, чтобы в листе рассылки не обсуждались
>подобные противоправные действия. Эти темы (наряду с поиском
>способов взлома ПО) должны быть явным образом запрещены
>Правилами. Правила должны быть отредактированы и опубликованы (в
>эхах это делается строго раз в месяц).
>  
>
чувак похоже помешаный или просто больной!
что плохого в его вопросе?

1. нож применяется с успехом на кухне, но им можно убить человека,
давайте запретим использовать ножи

2. человек, задающий вопрос в рассылку обычно хорошо
понимает что он хочет сделать и для чего. если следовать
логике этого чувака, то на вопросы "а как настроить доступ
клиентов к сквиду" надо задавать встречный вопрос:
"а известно ли менеджеру/директору/итд о том, что вы сквид
настраиваете, если нет, то свободны, если да, то см. acl"

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

Dmitry E. Oboukhov wrote:

> Sergey S. Skulachenko wrote:
>
>> On Thu, 17 Oct 2002 17:32:47 +0400
>> "Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:
>>
>>  
>>
>>> Jonan wrote:
>>>   
>>
>>
>>  
>>
>>>> Есть ли возможность организовать связь с компьютером в
>>>> локальной сети (за NAT), то есть выйти на него снаружи.
>>>> Например, на свой рабочий комп (IP из пула для локальных
>>>> сетей) с домашнего. То есть я понимаю, что одна из целей NAT
>>>> - чтобы снаружи машины в локалке не видели. Но, может, есть
>>>> способ обойти? Интерусуют варианты Линукс - Линукс,  с Линукс
>>>> на Вин, с Вин на Линукс
>>>>     
>>>
>>
>> Уважаемый Йонан!
>> Вы должны понимать, что одного такого письма в лист рассылки
>> может оказаться достаточно, чтобы разрушить Вашу карьеру. Зависит
>> от того, где Вы работаете и контракт какого содержания Вы
>> подписали.
>>
>>  
>>
>>> можно:
>>>
>>> 1. сделать, чтобы этот комп сам инициировал канал связи
>>> например периодически, но если дома у тебя не выделенный IP,
>>> или динамический, то ничего не получится...
>>>
>>> 2. можно зайти по ССШ/телнет на сервак, который делает NAT а
>>> оттуда по ССШ/Телнет на свой комп, но для этого надо иметь
>>> логин на сервере
>>>
>>> 3. если на компе стоит вин, то без доп софта зайти извне
>>> невозможно(исключая конечно всякие дырки;-), хотя в 2К вроде
>>> есть Телнет-сервис, но он страшненький;)
>>>
>>>   
>>
>> Любого из этих действий достаточно для судебного преследования.
>> Если удастся дожить до суда, так как оперативники при аресте
>> могут сильно изувечить. Им же тоже нужно тренироваться.
>>
>> Олег! В соответствии с действующими Правилами Commynity, я
>> настаиваю, чтобы в листе рассылки не обсуждались
>> подобные противоправные действия. Эти темы (наряду с поиском
>> способов взлома ПО) должны быть явным образом запрещены
>> Правилами. Правила должны быть отредактированы и опубликованы (в
>> эхах это делается строго раз в месяц).
>>  
>>
> чувак похоже помешаный или просто больной!
> что плохого в его вопросе?
>
> 1. нож применяется с успехом на кухне, но им можно убить человека,
> давайте запретим использовать ножи
>
> 2. человек, задающий вопрос в рассылку обычно хорошо
> понимает что он хочет сделать и для чего. если следовать
> логике этого чувака, то на вопросы "а как настроить доступ
> клиентов к сквиду" надо задавать встречный вопрос:
> "а известно ли менеджеру/директору/итд о том, что вы сквид
> настраиваете, если нет, то свободны, если да, то см. acl"

кстати есть решения от Майкрософт и не от неё
позволяющие создавать локальные сети в глобальной
применяются при создании "распределенных" офисов.
это что тоже подсудное дело?
ах они обходят фаерволы итд, ах давайте запретим это обсуждать!

[Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Maksim Otstavnov]

Hello Sergey,

Thursday, October 17, 2002, 8:01:36 PM, you wrote:

SSS> Уважаемый Йонан!
SSS> Вы должны понимать, что одного такого письма в лист рассылки
SSS> может оказаться достаточно, чтобы разрушить Вашу карьеру. Зависит
SSS> от того, где Вы работаете и контракт какого содержания Вы
SSS> подписали.

...

SSS> Любого из этих действий достаточно для судебного преследования.
SSS> Если удастся дожить до суда, так как оперативники при аресте
SSS> могут сильно изувечить. Им же тоже нужно тренироваться.

SSS> Олег! В соответствии с действующими Правилами Commynity, я
SSS> настаиваю, чтобы в листе рассылки не обсуждались
SSS> подобные противоправные действия. Эти темы (наряду с поиском
SSS> способов взлома ПО) должны быть явным образом запрещены
SSS> Правилами.

Очень странное суждение. Вы не знаете, каковы обстоятельства и
полномочия Йонана, откуда эта презумпция злонамеренности?

Тем более, не понятно, что такое "взлом ПО".

Кончайте, вообще, стремать народ pls.

-- 
-- Maksim

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Thu, 17 Oct 2002 20:31:57 +0400
Maksim Otstavnov <maksim@otstavnov.com> wrote:

> SSS>  Зависит от того, где Вы работаете и контракт
> SSS> какого содержания Вы подписали.
 
> Очень странное суждение. Вы не знаете, каковы обстоятельства и
> полномочия Йонана, откуда эта презумпция злонамеренности?
> 
> Тем более, не понятно, что такое "взлом ПО".
> 
> Кончайте, вообще, стремать народ pls.

Максим! Вы уже не первый раз очень избирательно читаете текст,
который казалось бы цитируете. Прочтите, пожалуйста, не спеша,
то, что написано мною выше. Не суетитесь так. Вполне возможно,
что Йонану поручено по контракту заниматься исследованием
устойчивости к взлому собственной сети. Пусть занимается. Но это
не тема для данного листа рассылки.
Поиск кряков через лист рассылки - это нормально? Или Вы не
понимаете, о чём я говорю?
_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

>
>
>Максим! Вы уже не первый раз очень избирательно читаете текст,
>который казалось бы цитируете. Прочтите, пожалуйста, не спеша,
>то, что написано мною выше. Не суетитесь так. Вполне возможно,
>что Йонану поручено по контракту заниматься исследованием
>устойчивости к взлому собственной сети. Пусть занимается. Но это
>не тема для данного листа рассылки.
>Поиск кряков через лист рассылки - это нормально? Или Вы не
>понимаете, о чём я говорю?
>  
>
имхо Вы несколько перегрелись сегодня на работе.

человек задал вопрос, как ему из дома получить доступ к рабочему
компу, а Вы заранее предполагаете, что человек пытается совершить
противоправное действие почему? наверно сами этим часто
грешите (Вы наверно в милиции работаете ;)

я тоже например имею доступ из дома к рабочему компу
(логин на сервер плюс самба на сервере)
Вы бы наверно меня посадили бы при первом удобном
случае ? ;)

[Comm] Re: [Comm] Связь с компьютером за NAT

[Jonan]

Здравствуйте!
Спасибо тем, кто ответил по существу.

Сергею:
1) Надеюсь, что российские оперативники в Прибалтику ездят редко, а наши -
не читают российские компьютерные рассылки:-) Бог не выдаст, свинья не
съест.
2) Админ фирмы в курсе моих интересов (и на своей машине я официально
грантован как локал админ, а не юзер). Проблема в том, что шлюз - на
стороне, у провайдера, а к ним обращаться надо гораздо более официально.
3) Официальных полномочий - доступ на всю сеть фирмы, кроме бухгалтерии
(куда я и не лезу).
Так что don't worry, ничего противозаконного в моем вопросе нет. Это
действительно вопрос home office.

                                                      Йонан

----- Original Message -----
From: Sergey S. Skulachenko <sssku@online.ru>
To: <community@altlinux.ru>; <cornet@altlinux.ru>
Sent: Thursday, October 17, 2002 7:01 PM
Subject: Re: [Comm] Связь с компьютером за NAT


> On Thu, 17 Oct 2002 17:32:47 +0400
> "Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:
>
> > Jonan wrote:
>
> > > Есть ли возможность организовать связь с компьютером в
> > > локальной сети (за NAT), то есть выйти на него снаружи.
> > > Например, на свой рабочий комп (IP из пула для локальных
> > > сетей) с домашнего. То есть я понимаю, что одна из целей NAT
> > > - чтобы снаружи машины в локалке не видели. Но, может, есть
> > > способ обойти? Интерусуют варианты Линукс - Линукс,  с Линукс
> > > на Вин, с Вин на Линукс
>
> Уважаемый Йонан!
> Вы должны понимать, что одного такого письма в лист рассылки
> может оказаться достаточно, чтобы разрушить Вашу карьеру. Зависит
> от того, где Вы работаете и контракт какого содержания Вы
> подписали.
>
> > можно:
> >
> > 1. сделать, чтобы этот комп сам инициировал канал связи
> > например периодически, но если дома у тебя не выделенный IP,
> > или динамический, то ничего не получится...
> >
> > 2. можно зайти по ССШ/телнет на сервак, который делает NAT а
> > оттуда по ССШ/Телнет на свой комп, но для этого надо иметь
> > логин на сервере
> >
> > 3. если на компе стоит вин, то без доп софта зайти извне
> > невозможно(исключая конечно всякие дырки;-), хотя в 2К вроде
> > есть Телнет-сервис, но он страшненький;)
> >
> Любого из этих действий достаточно для судебного преследования.
> Если удастся дожить до суда, так как оперативники при аресте
> могут сильно изувечить. Им же тоже нужно тренироваться.
>
> Олег! В соответствии с действующими Правилами Commynity, я
> настаиваю, чтобы в листе рассылки не обсуждались
> подобные противоправные действия. Эти темы (наряду с поиском
> способов взлома ПО) должны быть явным образом запрещены
> Правилами. Правила должны быть отредактированы и опубликованы (в
> эхах это делается строго раз в месяц).
>
> _____________
> С уважением,
> С.С.Скулаченко
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
>
>

Re: [Comm] Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

>
>
>2) Админ фирмы в курсе моих интересов (и на своей машине я официально
>грантован как локал админ, а не юзер). Проблема в том, что шлюз - на
>стороне, у провайдера, а к ним обращаться надо гораздо более официально.
>
не понял, у Вас нет выделенного IP что-ли
Ваша локалка смотрит одним концом к провайдеру ?

иначе попросите админа сделать Вам логин на сервере, имеющем
выделенный IP, и поставить на сервер самба-клиента (если он там еще
не стоит) или NFS - в зависимости от того, что у Вас на машине стоит.
Этого Вам должно быть достаточно, чтобы из командной строки
получить доступ к Вашему рабочему месту на работе (простите за
тафталогию ;)

еще по моему развивали NFS на эту тему, но чем кончилось
не знаю, ищите на тему "распределенные локальные сети"
там и от МС были решения, только я тут только слышал, что
такое есть, но ни разу не глядел близко...

>3) Официальных полномочий - доступ на всю сеть фирмы, кроме бухгалтерии
>(куда я и не лезу).
>Так что don't worry, ничего противозаконного в моем вопросе нет. Это
>действительно вопрос home office.
>
>  
>
а хоть бы и было, если Вы делаете что-то противозаконное,
то это лично Ваша проблемма ;)

Re: [Comm] Связь с компьютером за NAT

[Serge Ryabchun]

On Thu, 17 Oct 2002, Sergey S. Skulachenko wrote:

> On Thu, 17 Oct 2002 17:32:47 +0400
> "Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:
> 
> > Jonan wrote:
> 
> > > Есть ли возможность организовать связь с компьютером в
> > > локальной сети (за NAT), то есть выйти на него снаружи.
> > > Например, на свой рабочий комп (IP из пула для локальных
> > > сетей) с домашнего. То есть я понимаю, что одна из целей NAT
> > > - чтобы снаружи машины в локалке не видели. Но, может, есть
> > > способ обойти? Интерусуют варианты Линукс - Линукс,  с Линукс
> > > на Вин, с Вин на Линукс
> 
> Уважаемый Йонан!
> Вы должны понимать, что одного такого письма в лист рассылки
> может оказаться достаточно, чтобы разрушить Вашу карьеру. Зависит
> от того, где Вы работаете и контракт какого содержания Вы
> подписали.

Вы либо только что закончили читать статью "Что бывает с крякерами",
либо белены объелись, либо покурили чего. Потому как кроме госконтор
и контор, типа моей, со своей службой бэзпэкы, есть много чего на
свете...

man ipmasqadm portfw for ipchains
man iptables for 2.4.x only

либо примитивные redir и иже с ним

-- 
Serge Ryabchun sr@energy.uch.net

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

>
>
>man ipmasqadm portfw for ipchains
>man iptables for 2.4.x only
>
>либо примитивные redir и иже с ним
>
>  
>
тоже кстати нехилая идея: перенаправить на сервере что-то с одного
внешнего порта, на один из локальных компов: надо будет взять себе
на заметку ;)

[Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Maksim Otstavnov]

Hello Sergey,

Thursday, October 17, 2002, 8:47:55 PM, you wrote:

SSS> Максим! Вы уже не первый раз очень избирательно читаете текст,
SSS> который казалось бы цитируете. Прочтите, пожалуйста, не спеша,
SSS> то, что написано мною выше. Не суетитесь так. Вполне возможно,
SSS> что Йонану поручено по контракту заниматься исследованием
SSS> устойчивости к взлому собственной сети. Пусть занимается. Но это
SSS> не тема для данного листа рассылки.

Вопрос Йонана был про обход NAT (возможность и средства), а не про
устойчивость ко "взлому". Я знаю с пяток ситуаций, когда это может
потребоваться; самая типичная: какая-нибудь ерунда сдуру поставлена
кем-то "из коробки", и ее обход необходим для выполнения нормальных
операций, а не какого-то там "взлома".

SSS> Поиск кряков через лист рассылки - это нормально?

It depends. Например, поиск "кряка", позволяющего запустить
пресловутую 1C без HASP (не прикручивающегося под WIne/Linux),
полагаю, --- нормально.

-- 
-- Maksim

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Thu, 17 Oct 2002 21:07:14 +0400
"Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:

> я тоже например имею доступ из дома к рабочему компу
> (логин на сервер плюс самба на сервере)

Этот абзац уже похож на человеческую речь, поэтому можно
ответить: если у Вас на сервере залежи эротических картинок и это
и есть основной секрет фирмы, то успехов Вам, ничем не рискуете.

> Вы бы наверно меня посадили бы при первом удобном
> случае ? ;)
Нет, но на работу не взял бы.

А теперь в порядке обмена опытом. Реальная история. Несколько лет
назад был взломан сайт в Дубне. Сообщество об этом факте знало, и
дыра была описана. Но сайт продолжал лежать, дыру почему-то не
закрывали. То ли держали в качестве ловушки, в которую и попал
мой сотрудник. Он прямо по прописи протестировал эту дыру. На
следующий день в Банк приехали люди с логами и начали катить
бочку, что, мол, Ваш сотрудник изначально и взломал сайт. Вот же
его следы. Истинных взломщиков они не смогли выявить, а тут
удобный случай повесить вину на безвинного. Вердикт первого
зампреда был - уволить до конца рабочего дня. Мне велено было
вызвать его из дома. В эту ночь он был на работе, так как срочно
пришлось менять системную плату на одном из sun'ов, а поднимаются
они не быстро. Я позвонил бедолаге и велел не высовываться до
следующего утра. Сам же сказал, что не нашёл (обманул, то есть).
На следующий день все написали объяснительные записки. С
трудом удалось пустить дело на тормоза.
А теперь, в чём же была вина нашего админа? Не в том, что он,
проведя тест, отлаживал тем самым систему собственной
безопасности (ловушки, кстати, он полюбил расставлять). А только
в том, что он засветил свой служебный адрес и тем самым бросил
тень на свою организацию. И этого, действительно, достаточно для
увольнения.
Подумайте. И будьте осторожны в своих исканиях. Буду рад, если
это предостережение кому-то пригодится. Я обращаюсь к думающим
людям, привыкшим анализировать свои поступки и отвечать за них. А
не к тем, кто сорвался с цепи и машет шашкой, нам море по колено.
Ой, нет.

От Олега пока никакой реакции, но я продолжаю настаивать, что
тема "как взломать" должна быть запретной в листе рассылки. Есть
множество других мест, в которых этот вопрос изучается на
хорошем уровне и очень грамотными специалистами. Но при чём здесь
ALT?

Хамские выпады в свой адрес фильтрую. Не трудитесь, отвечать на
них не буду. Времени нет, и не интересно, скучно очень.
_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Albert R. Valiev]

В Чтв, 17.10.2002, в 20:01, Sergey S. Skulachenko написал:
> > > Есть ли возможность организовать связь с компьютером в
> > > локальной сети (за NAT), то есть выйти на него снаружи.
> > > Например, на свой рабочий комп (IP из пула для локальных
> > > сетей) с домашнего. То есть я понимаю, что одна из целей NAT
> > > - чтобы снаружи машины в локалке не видели. Но, может, есть
> > > способ обойти? Интерусуют варианты Линукс - Линукс,  с Линукс
> > > на Вин, с Вин на Линукс
> 
> Уважаемый Йонан!
> Вы должны понимать, что одного такого письма в лист рассылки
> может оказаться достаточно, чтобы разрушить Вашу карьеру. Зависит
> от того, где Вы работаете и контракт какого содержания Вы
> подписали.

Сергей, вы ничего не перепутали? Это не является вопросом, "как взломать
сеть и попасть на компутер за NAT", слова "взломать" вообще не было. И
человеку объяснили, что для выполнения требуемой задачи он должен
соответстсвующим образом настроить маршрутизатор. Не вижу, где о
взломе... постарайтесь пожалуйста повнимательней читать сообщения и
ответы на них.

Re: [Comm] Связь с компьютером за NAT

[Albert R. Valiev]

В Чтв, 17.10.2002, в 20:47, Sergey S. Skulachenko написал:
> > SSS>  Зависит от того, где Вы работаете и контракт
> > SSS> какого содержания Вы подписали.
> > Очень странное суждение. Вы не знаете, каковы обстоятельства и
> > полномочия Йонана, откуда эта презумпция злонамеренности?
> > Тем более, не понятно, что такое "взлом ПО".
> > Кончайте, вообще, стремать народ pls.
> Максим! Вы уже не первый раз очень избирательно читаете текст,
> который казалось бы цитируете. Прочтите, пожалуйста, не спеша,
> то, что написано мною выше. Не суетитесь так. Вполне возможно,
> что Йонану поручено по контракту заниматься исследованием
> устойчивости к взлому собственной сети. Пусть занимается. Но это
> не тема для данного листа рассылки.
> Поиск кряков через лист рассылки - это нормально? Или Вы не
> понимаете, о чём я говорю?
Сергей, где здесь поиск кряков? 

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

Sergey S. Skulachenko wrote:

>On Thu, 17 Oct 2002 21:07:14 +0400
>"Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:
>
>  
>
>>я тоже например имею доступ из дома к рабочему компу
>>(логин на сервер плюс самба на сервере)
>>    
>>
>
>Этот абзац уже похож на человеческую речь, поэтому можно
>ответить: если у Вас на сервере залежи эротических картинок и это
>и есть основной секрет фирмы, то успехов Вам, ничем не рискуете.
>
у Вас похоже кроме эротических картинок ничего в голове нету...
Тут все проще: иногда надо взять "работу на дом" (дома поработать
то есть) тут доступ из дома на рабочее место очень кстати.
самба позволяет пробиться к виндовым машинам,
ССШ- к линуксовым.
По роду деятельности больше занимаюсь схемотехникой,
немного меньше - её программированием...

>
>  
>
>>Вы бы наверно меня посадили бы при первом удобном
>>случае ? ;)
>>    
>>
>Нет, но на работу не взял бы.
>
хех, да я к такому зашуганному и не пошел бы
начальник не должен бояться ответственности,
и не должен бояться что его подчиненные будут
делать ошибки. А такого как Вы, я не представляю
в такой роли...

>
>А теперь в порядке обмена опытом. Реальная история. Несколько лет
>назад был взломан сайт в Дубне. Сообщество об этом факте знало, и
>дыра была описана. Но сайт продолжал лежать, дыру почему-то не
>закрывали. То ли держали в качестве ловушки, в которую и попал
>мой сотрудник. Он прямо по прописи протестировал эту дыру. На
>следующий день в Банк приехали люди с логами и начали катить
>бочку, что, мол, Ваш сотрудник изначально и взломал сайт. Вот же
>его следы. Истинных взломщиков они не смогли выявить, а тут
>удобный случай повесить вину на безвинного. Вердикт первого
>зампреда был - уволить до конца рабочего дня. Мне велено было
>вызвать его из дома. В эту ночь он был на работе, так как срочно
>пришлось менять системную плату на одном из sun'ов, а поднимаются
>они не быстро. Я позвонил бедолаге и велел не высовываться до
>следующего утра. Сам же сказал, что не нашёл (обманул, то есть).
>На следующий день все написали объяснительные записки. С
>трудом удалось пустить дело на тормоза.
>А теперь, в чём же была вина нашего админа? Не в том, что он,
>проведя тест, отлаживал тем самым систему собственной
>безопасности (ловушки, кстати, он полюбил расставлять). А только
>в том, что он засветил свой служебный адрес и тем самым бросил
>тень на свою организацию. И этого, действительно, достаточно для
>увольнения.
>Подумайте. И будьте осторожны в своих исканиях. Буду рад, если
>это предостережение кому-то пригодится. Я обращаюсь к думающим
>людям, привыкшим анализировать свои поступки и отвечать за них. А
>не к тем, кто сорвался с цепи и машет шашкой, нам море по колено.
>Ой, нет.
>  
>
описанная Вами история не имеет никакого отношения
к данному треду

>От Олега пока никакой реакции, но я продолжаю настаивать, что
>тема "как взломать" должна быть запретной в листе рассылки. Есть
>множество других мест, в которых этот вопрос изучается на
>хорошем уровне и очень грамотными специалистами. Но при чём здесь
>ALT?
>  
>
вот такие люди меня всегда раздражали в фидо
еще хуже, когда в такие руки попадает возможность
"замодерировать" кого-нибудь, у таких модераторов
в фидо конференции обычно пустуют

>Хамские выпады в свой адрес фильтрую. Не трудитесь, отвечать на
>них не буду. Времени нет, и не интересно, скучно очень.
>  
>
время у Вас как раз похоже есть, раз взяли на себя тяжелое
бремя модерировать рассылку ;)

[Comm] Re: [Comm] Связь с компьютером за NAT

[Sergey A. Kolesnitchenko]

Hello Jonan,

Thursday, October 17, 2002, 5:20:12 PM, you wrote:
J> То есть я понимаю, что одна из целей NAT - чтобы снаружи машины в
J> локалке не видели. Но, может, есть способ обойти?
J> Интерусуют варианты Линукс - Линукс,  с Линукс на Вин, с Вин на Линукс

J>                                                 Йонан
Еще вариант. Поставить на сервере с натом форвардинг (ipfwadm). Допустим вы
коннектитесь из дома на _определенный_ порт сервера, где в правилах
форвардинга указано, что если коннектятся на этот порт то запрос
перенаправляется на ваш рабочий комп.


-- 
Best regards,
 Sergey                            mailto:sergey.ak@mtu-net.ru

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Thu, 17 Oct 2002 22:43:00 +0400
Maksim Otstavnov <maksim@otstavnov.com> wrote:

> It depends. Например, поиск "кряка", позволяющего запустить
> пресловутую 1C без HASP (не прикручивающегося под WIne/Linux),
> полагаю, --- нормально.

Отношусь к ним без всяких симпатий. И был поражён Вашим
рассказом об армии 100-долларовых программистов, обслуживающих
конструктор 1С (вот, уж, наша ужасающая родная реальность). Хотя,
казалось бы, у меня был и собственный опыт. Я знал, что нельзя
собрать отчёты со ста предприятий, для которых закупка сделана
централизованно (конструктор. и настроен по-разному).
Но ломать без договорённости с желтыми - нельзя.

_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On 17 Oct 2002 23:01:17 +0400
"Albert R. Valiev" <darkstar@altlinux.ru> wrote:

> > > > Есть ли возможность организовать связь с компьютером в
> > > > локальной сети (за NAT), то есть выйти на него снаружи.
> > > > Например, на свой рабочий комп (IP из пула для локальных
> > > > сетей) с домашнего. То есть я понимаю, что одна из целей
> > > > NAT- чтобы снаружи машины в локалке не видели. Но, может,
> > > > есть способ обойти?
 
> Сергей, вы ничего не перепутали? Это не является вопросом, "как
> взломать сеть и попасть на компутер за NAT", слова "взломать"
> вообще не было. И человеку объяснили, что для выполнения
> требуемой задачи он должен соответстсвующим образом настроить
> маршрутизатор. Не вижу, где о взломе... постарайтесь пожалуйста
> повнимательней читать сообщения и ответы на них.
 
Альберт! Давайте вместе читать внимательно, что пишет Ионан (не
я). Он отлично понимает, "что одна из целей NAT- чтобы снаружи
машины в локалке не видели." А теперь и Вы должны понять, что
если рабочая станция, находящаяся в сети, видна снаружи, то сеть
взломана. Так как рядом с Вами могут находиться люди, которые
взяли на дом совсем другую работу. Они заставят Вас сделать то,
что _они_ хотят. А доступ в сеть Вы любезно для них открыли (не
подумайте плохого, настройкой маршрутизатора :-). Нельзя этого
делать. Это серьёзно. Удобство "поработать дома" может обернуться
бедой. Береженого Бог бережет. Безопасность не терпит никакого
легкомыслия. (Вот, не зря знающие люди, объявляя вакансию
администратора, пишут - не моложе 35 лет.)

_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Albert R. Valiev]

В Чтв, 17.10.2002, в 23:40, Sergey S. Skulachenko написал:

> > > > Есть ли возможность организовать связь с компьютером в
> > > > локальной сети (за NAT), то есть выйти на него снаружи.
> > > > Например, на свой рабочий комп (IP из пула для локальных
> > > > сетей) с домашнего. То есть я понимаю, что одна из целей
> > > > NAT- чтобы снаружи машины в локалке не видели. Но, может,
> > > > есть способ обойти?
> Альберт! Давайте вместе читать внимательно, что пишет Ионан (не
> я).

Хорошо, давайте.

> Он отлично понимает, "что одна из целей NAT- чтобы снаружи
> машины в локалке не видели." А теперь и Вы должны понять, что
> если рабочая станция, находящаяся в сети, видна снаружи, то сеть
> взломана. Так как рядом с Вами могут находиться люди, которые
> взяли на дом совсем другую работу. Они заставят Вас сделать то,
> что _они_ хотят. А доступ в сеть Вы любезно для них открыли (не
> подумайте плохого, настройкой маршрутизатора :-). Нельзя этого
> делать. Это серьёзно. Удобство "поработать дома" может обернуться
> бедой. Береженого Бог бережет. Безопасность не терпит никакого
> легкомыслия. (Вот, не зря знающие люди, объявляя вакансию
> администратора, пишут - не моложе 35 лет.)

Сергей, думаю, что спор не будет иметь смысла. Рассмотрим ситуацию:

Вопрос, точнее его формулировка, позволяет мысль о том, что человек ищет
кряк. Однако в большей степени та же формулировка позволяет думать о
том, что человек не ищет кряка. Также об этом говорят последующие
постинги человека в конференцию. 

Теперь о том, что вы написали - при таком раскладе речь о поиске кряка
вообще не может идти. Т.е. если человек имеет доступ к настройке
маршрутизатора, значит два варианта: он или получил несанкционированный
доступ (попросто взломал) или он там работает. В обоих случаях ему уже
не будет важен вопрос организации обратного преобразования адресов с
целью несанкционированного доступа к компьютерам во внутренней сети из
внешней, т.к. в первом случае он доберется до них чернез маршрутизатор,
а во втором случае взлом ему уже вообще не нужен. Следовательно вопрос о
поиске кряка отметается. Другой вопрос, что преступна будет сама мысль о
том, что с внешней сети есть доступ к компьютеру во внутренней, я, к
примеру, никогда такого не разрешу (благо я админ в своей конторе).
Однако тут опять же вопрос - может быть доступ будет только с одного
адреса, сетки или там еще по какому условию. На это даже авторизацию
можно прикрутить. Если у вас есть еще какие-либо аргументы, с
удовольствием выслушаю.

С уважением, Альберт Валиев.

[Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Maksim Otstavnov]

Hello Sergey,

Thursday, October 17, 2002, 11:40:48 PM, you wrote:

SSS> On 17 Oct 2002 23:01:17 +0400
SSS> "Albert R. Valiev" <darkstar@altlinux.ru> wrote:

>> > > > Есть ли возможность организовать связь с компьютером в
>> > > > локальной сети (за NAT), то есть выйти на него снаружи.
>> > > > Например, на свой рабочий комп (IP из пула для локальных
>> > > > сетей) с домашнего. То есть я понимаю, что одна из целей
>> > > > NAT- чтобы снаружи машины в локалке не видели. Но, может,
>> > > > есть способ обойти?
 
>> Сергей, вы ничего не перепутали? Это не является вопросом, "как
>> взломать сеть и попасть на компутер за NAT", слова "взломать"
>> вообще не было. И человеку объяснили, что для выполнения
>> требуемой задачи он должен соответстсвующим образом настроить
>> маршрутизатор. Не вижу, где о взломе... постарайтесь пожалуйста
>> повнимательней читать сообщения и ответы на них.
 
SSS> Альберт! Давайте вместе читать внимательно, что пишет Ионан (не
SSS> я). Он отлично понимает, "что одна из целей NAT- чтобы снаружи
SSS> машины в локалке не видели." А теперь и Вы должны понять, что
SSS> если рабочая станция, находящаяся в сети, видна снаружи, то сеть
SSS> взломана.

Да что за детский сад? "Взломана" --- это вообще на фене.

Сергей, здесь же серьезные люди, ну что Вы в самом деле.


-- 
-- Maksim

[Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Maksim Otstavnov]

Hello Sergey,

Thursday, October 17, 2002, 11:11:27 PM, you wrote:

SSS> On Thu, 17 Oct 2002 22:43:00 +0400
SSS> Maksim Otstavnov <maksim@otstavnov.com> wrote:

>> It depends. Например, поиск "кряка", позволяющего запустить
>> пресловутую 1C без HASP (не прикручивающегося под WIne/Linux),
>> полагаю, --- нормально.

SSS> Отношусь к ним без всяких симпатий.

ОК, никто от Вас ее и не требует.

SSS> И был поражён Вашим
SSS> рассказом об армии 100-долларовых программистов, обслуживающих
SSS> конструктор 1С (вот, уж, наша ужасающая родная реальность). Хотя,
SSS> казалось бы, у меня был и собственный опыт. Я знал, что нельзя
SSS> собрать отчёты со ста предприятий, для которых закупка сделана
SSS> централизованно (конструктор. и настроен по-разному).
SSS> Но ломать без договорённости с желтыми - нельзя.

Разве этот список предназначен для пропаганды вылизывания @#$ желтым?
"Кряканье" _своей_ программы при невозможности пользоваться ею без
этого --- вполне легальное (и даже специально защищаемое законом)
действие.

-- 
-- Maksim

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On 18 Oct 2002 00:50:32 +0400
"Albert R. Valiev" <darkstar@altlinux.ru> wrote:


>  Другой
> вопрос, что преступна будет сама мысль о том, что с внешней
> сети есть доступ к компьютеру во внутренней, я, к примеру,
> никогда такого не разрешу (благо я админ в своей конторе).

Альберт, наши точки зрения совпали.
_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Fri, 18 Oct 2002 01:38:06 +0400
Maksim Otstavnov <maksim@otstavnov.com> wrote:

> SSS> Альберт! Давайте вместе читать внимательно, что пишет
> SSS> Ионан (не я). Он отлично понимает, "что одна из целей NAT-
> SSS> чтобы снаружи машины в локалке не видели." А теперь и Вы
> SSS> должны понять, что если рабочая станция, находящаяся в
> SSS> сети, видна снаружи, то сеть взломана.
> 
> Да что за детский сад? "Взломана" --- это вообще на фене.

Максим, темперамент Вас подводит. Ну, что Вы так спешите? Вам
осталось процитировать и прочесть следующее мое предложение. На
"фене" обсуждать серьёзные вещи я не смогу. Но давайте попробуем:
Поскольку Вы и дома и на работе работаете под Windows, то легко
догадаться, что, для организации удалённого доступа к своему
компьютеру на работе, Вы подняли на нём RAS и повесили модем,
ожидающий звонков. И тут, как раз, возникла необходимость
поработать дома, так как с вечера сильно болит голова. Ну, и я к
Вам пришёл с авоськой пива. Шестерю, то есть (мы же на "фене").
Нет, лучше другой сюжет. Пришёл переписчик. А Вы отошли на минуту
по нужде, заодно уточнить пол, который нужно вписать в переписной
лист (с) Ю.Стоянов. Переписчик с высшим компьютерным образованием
посидел минуту за Вашей клавиатурой. У RAS'а авторизация
примитивная. После этого (безо всякой силовой акции и в Вашем
полном неведении) он из дома вошёл в сеть редакции "Инфобизнес" и
похитил передовую статью, которую Вы заканчивали редактировать,
для удобства дома. Потом этот негодяй опубликовал эту статью у
Проханова. С Вами перестали здороваться друзья, а жена ушла в
детскую.
 
> Сергей, здесь же серьезные люди, ну что Вы в самом деле.

Уже не первый раз наблюдаю, что обсуждение проблем сетевой
безопасности вызывает у многих сильнейшее неприятие, чему я
сильно удивляюсь. По моему мнению, понимание этих проблем должно
происходить у админа на подсознательном уровне, быть его
сущностью. В противном случае, он - самое слабое звено в системе,
и его нужно, как можно быстрее, выгнать с работы. Ну, раз ему
удобно сидеть дома. Там он и займётся любимым делом, но уже
бесплатно.

_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 568 bytes --]

On Fri, Oct 18, 2002 at 01:44:28AM +0400, Maksim Otstavnov wrote:
> "Кряканье" _своей_ программы при невозможности пользоваться
> ею без этого --- вполне легальное (и даже специально
> защищаемое законом) действие.
Вот только фирма производитель вполне может послать вас в
пешее эротическое путешествие, если вам понадобится саппорт
этой легально купленной, но все равно "крякнутой" программы...

"Ломать" легально купленные проги можно, но за это ничего не
будет - ни саппорта, ни обновлений ;-)

-- 
Sir Raorn, Inform-Mobil System Adminitrator.
AIF5-RIPN, AIF5-RIPE

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Связь с компьютером за NAT

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 462 bytes --]

On Thu, Oct 17, 2002 at 11:40:48PM +0400, Sergey S. Skulachenko wrote:
> А теперь и Вы должны понять, что если рабочая станция,
> находящаяся в сети, видна снаружи, то сеть взломана.
Сегрей, вы случайно "Хакеров" недавно не смотрели? У меня на
старой работе моя рабочая станция была видна снаружи через
NAT, там крутились www/ftp/ssh. Это значит, что я два года
работал на взломаной машине?

-- 
Sir Raorn, Inform-Mobil System Adminitrator.
AIF5-RIPN, AIF5-RIPE

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Связь с компьютером за NAT

[Anton V. Boyarshinov]

On Thu, 17 Oct 2002 22:55:12 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> On Thu, 17 Oct 2002 21:07:14 +0400
> "Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:
> 
> > я тоже например имею доступ из дома к рабочему компу
> > (логин на сервер плюс самба на сервере)
> 
> Этот абзац уже похож на человеческую речь, поэтому можно
> ответить: если у Вас на сервере залежи эротических картинок и
> это и есть основной секрет фирмы, то успехов Вам, ничем не
> рискуете.
> 
> > Вы бы наверно меня посадили бы при первом удобном
> > случае ? ;)
> Нет, но на работу не взял бы.

А это уже Ваши проблемы. Обстоятельства бывают разные. То, что
сотрудник может среди ночи поднять упавший по какой-то причине
сервис, это не всегда плохо. Это может быть его обязанностью.

Антон
-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 10:20am  up 2 days, 23:18,  3 users,  load average: 0.00, 0.02,
0.08

Re: [Comm] Связь с компьютером за NAT

[Anton V. Boyarshinov]

On Thu, 17 Oct 2002 22:55:12 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> От Олега пока никакой реакции, но я продолжаю настаивать, что
> тема "как взломать" должна быть запретной в листе рассылки. 
В исходном письме про "взломать" ничего не было.
Было про "получить доступ". Это разные вещи -- доступ может быть
првомерным.

Антон
-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 10:20am  up 2 days, 23:18,  3 users,  load average: 0.00, 0.02,
0.08

[Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Maksim Otstavnov]

Hello Sergey,

Friday, October 18, 2002, 9:25:05 AM, you wrote:

>> Да что за детский сад? "Взломана" --- это вообще на фене.

SSS> Максим, темперамент Вас подводит. Ну, что Вы так спешите? Вам
SSS> осталось процитировать и прочесть следующее мое предложение. На
SSS> "фене" обсуждать серьёзные вещи я не смогу.

Вот и ограничьтесь нормативной лексикой.

>> Сергей, здесь же серьезные люди, ну что Вы в самом деле.

SSS> Уже не первый раз наблюдаю, что обсуждение проблем сетевой
SSS> безопасности вызывает у многих сильнейшее неприятие,

Сильнейшее неприятие, в данном случае, вызвала ваша апелляция к
городовому... пардон, к модератору; "оперативникам" и пр. и обвинения
другого участника списка черт знает в чем.

Призывы запретить обсуждать что-либо, в любом случае, не мера
безопасности. Скорее, наоборот, от таких призывов очень многие
проблемы с безопасностью и возникают.

-- 
-- Maksim

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Fri, 18 Oct 2002 10:00:34 +0400
"Alexey I. Froloff" <raorn@immo.ru> wrote:

> On Thu, Oct 17, 2002 at 11:40:48PM +0400, Sergey S. Skulachenko
> wrote:
> > А теперь и Вы должны понять, что если рабочая станция,
> > находящаяся в сети, видна снаружи, то сеть взломана.
> Сегрей, вы случайно "Хакеров" недавно не смотрели? У меня на
> старой работе моя рабочая станция была видна снаружи через
> NAT, там крутились www/ftp/ssh. Это значит, что я два года
> работал на взломаной машине?
 
Алексей, я, ведь, тоже озорник. Я тоже использовал для доступа к
своей рабочей станции RAS под NT, а ещё удобнее через WinView
(WinFrame). В последнем случае работаешь из дома на
удалённой рабочей станции и можешь запускать любые программы,
установленные на ней. Трафик маленький. Жутко удобно!
Но _сейчас_ я говорю, что так делать нельзя. И нельзя в этом
листе рассылки обучать непосвящённых, каким способом устроить
дыру в безопасности собственной сети. Как повысить безопасность -
обязательно надо обсуждать. Но чувствуете, это совсем другая
тема?
Почему это дыра, я уже объяснил Максиму. Нет контроля за Вашей
домашней машиной. Трансляция адресов прописана, всё сделано
аккуратно и профессионально. Но кто в данный момент сидит за
клавиатурой Вашей домашней машины, никогда не известно точно. Вот
во внутренней сети за ДМЗ круг лиц всегда определён (известно,
кто проходил через рамку, кто входил в помещение, открыв его
своей чиповой картой и т.д.)

_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Grigory Batalov]

On Fri, 18 Oct 2002 09:25:05 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> Уже не первый раз наблюдаю, что обсуждение проблем сетевой
> безопасности вызывает у многих сильнейшее неприятие, чему я
> сильно удивляюсь. По моему мнению, понимание этих проблем должно
> происходить у админа на подсознательном уровне, быть его
> сущностью. В противном случае, он - самое слабое звено в системе,
> и его нужно, как можно быстрее, выгнать с работы. Ну, раз ему
> удобно сидеть дома. Там он и займётся любимым делом, но уже
> бесплатно.

  Сергей, Вы пытаетесь привить серьёзные понятия о безопасности
  в несерьёзном линуксовом сообществе =).
  Большинство контор имеют бюджет, несравнимый с банковским.
  Поэтому они не могут себе позволить ни затрат на безопасность,
  ни квалифицированного (с точки зрения безопасности) администратора.

-- 
 Баталов Григорий,
 системный администратор
 ОАО "Ковдорский ГОК"

Re: [Comm] Связь с компьютером за NAT

[Anton V. Boyarshinov]

On Fri, 18 Oct 2002 10:44:16 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> Вот
> во внутренней сети за ДМЗ круг лиц всегда определён (известно,
> кто проходил через рамку, кто входил в помещение, открыв его
> своей чиповой картой и т.д.)

То есть вы переносите требования к уровню безопасности в вашей
организации на всех, а это некоррректно. На такие темы можно
рассуждать только в терминах рисков. Я полагаю, что вероятность
события, описанного вами в письме к Максиму (про замену статьи)
существенно меньше, чем вероятность гибели всего офиса
Инфобизнеса в результате теракта.

Антон
-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 10:52am  up 2 days, 23:50,  3 users,  load average: 0.04, 0.02,
0.03

Re: [Comm] Связь с компьютером за NAT

[Anton V. Boyarshinov]

On Fri, 18 Oct 2002 10:53:50 +0400
Grigory Batalov <grisxa@mail.ru> wrote:

>  Большинство контор имеют бюджет, несравнимый с банковским.
>   Поэтому они не могут себе позволить ни затрат на
>   безопасность, ни квалифицированного (с точки зрения
>   безопасности) администратора.

Большинство контор имеют риски несравнимые с банковскими. А
разумный бюджет на безопасность и разумная степень этой
безопасности определяется именно рисками.

Антон
-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 10:56am  up 2 days, 23:54,  3 users,  load average: 0.00, 0.01,
0.02

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Fri, 18 Oct 2002 10:21:31 +0400
"Anton V. Boyarshinov" <boyarsh@ru.echo.fr> wrote:

>  Обстоятельства бывают разные. То, что
> сотрудник может среди ночи поднять упавший по какой-то причине
> сервис, это не всегда плохо. Это может быть его обязанностью.

В организациях, заботящихся о своей безопасности, это запрещено.
Минимальное решение: администратор получает ночью сообщение на
свой мобильный телефон от системы. Он оценивает по своему опыту,
нужно ли ему немедленно ехать на работу либо достаточно придти
утром на час раньше. Лучшее решение: дежурный ночной смены,
который находится внутри сети, за ДМЗ. У него есть инструкция
(ночью думать сложно), и с ним администраторы могут поговорить,
помочь ему. У нас было две дежурных смены, в административном и
техническом центрах. Отличное подспорье для студентов старших
курсов. Их зарплата с лихвой окупалась при первой же аварии. Эту
службу я организовал по собственной инициативе.
Но обстоятельства бывают разные. Если нет секретов, которые стОит
охранять так тщательно, то нет и проблем. Улалённо, telnet'ом,
открытым текстом - вперед!

_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Anton V. Boyarshinov]

On Fri, 18 Oct 2002 11:21:16 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> В организациях, заботящихся о своей безопасности, это
> запрещено. Минимальное решение: администратор получает ночью
> сообщение на свой мобильный телефон от системы. Он оценивает по
> своему опыту, нужно ли ему немедленно ехать на работу либо
> достаточно придти утром на час раньше. Лучшее решение: дежурный
> ночной смены, который находится внутри сети, за ДМЗ. У него
> есть инструкция(ночью думать сложно), и с ним администраторы
> могут поговорить, помочь ему. У нас было две дежурных смены, в
> административном и техническом центрах. Отличное подспорье для
> студентов старших курсов. Их зарплата с лихвой окупалась при
> первой же аварии. Эту службу я организовал по собственной
> инициативе.
Это возможно только в достаточно большой организации.

> Но обстоятельства бывают разные. Если нет секретов, которые
> стОит охранять так тщательно, то нет и проблем. Улалённо,
> telnet'ом, открытым текстом - вперед!
То есть или/или, третьего не дано. Или чиповые карточки и пр. или
telnet. ssh выкидываем -- зачем он нужен. Эх, максимализм,
максимализм...

Антон
-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 11:32am  up 3 days, 30 min,  3 users,  load average: 0.12, 0.04,
0.01

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

>
>
>В организациях, заботящихся о своей безопасности, это запрещено.
>Минимальное решение: администратор получает ночью сообщение на
>свой мобильный телефон от системы. Он оценивает по своему опыту,
>нужно ли ему немедленно ехать на работу либо достаточно придти
>утром на час раньше. Лучшее решение: дежурный ночной смены,
>который находится внутри сети, за ДМЗ. У него есть инструкция
>(ночью думать сложно), и с ним администраторы могут поговорить,
>помочь ему. У нас было две дежурных смены, в административном и
>техническом центрах. Отличное подспорье для студентов старших
>курсов. Их зарплата с лихвой окупалась при первой же аварии. Эту
>службу я организовал по собственной инициативе.
>Но обстоятельства бывают разные. Если нет секретов, которые стОит
>охранять так тщательно, то нет и проблем. Улалённо, telnet'ом,
>открытым текстом - вперед!
>
>  
>

идеалист, блин!
ты не пробовал на 100км от москвы отъехать ?

Re: [Comm] Связь с компьютером за NAT

[Andrei M. Laptev]

On Fri, 18 Oct 2002 10:44:16 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> Почему это дыра, я уже объяснил Максиму. Нет контроля за Вашей
> домашней машиной. Трансляция адресов прописана, всё сделано
> аккуратно и профессионально. Но кто в данный момент сидит за
> клавиатурой Вашей домашней машины, никогда не известно точно. Вот
> во внутренней сети за ДМЗ круг лиц всегда определён (известно,
> кто проходил через рамку, кто входил в помещение, открыв его
> своей чиповой картой и т.д.)
> 
Сергей, Вы действительно перегибаете палку. Ведь если рассматривать 
крайние ситуации, то нет гарантии что у того кто прошел через 
рамку и открыл помещение своей чиповой картой, злобные дядьки не 
похитили например любимую собаку и угрожая физическим воздействием на 
несчастное животное требуют выполнить нечто противоречащие политике 
безопасности принятой в этой органицации.

Да наверное не следует просто так и без оговорок учить новичков открывать доступ 
во внутреннюю сеть, но Вы, Сергей, наверное уже заметили что Ваши ответы на 
подобного рода вопросы (уже не в первый раз) вызывают бурную реакцию неприятия. 
Я думаю что просто не нужно впадать в крайности и если бы ответ содержал текст про 
то что нужно настроить DNAT или иметь шелл на маршрутизаторе, а затем Вы просто 
напомнили бы что при этом важно не забывать о безопасности и о необходимость согласовать 
действия с местным админом/начальством, то не было бы такого бурного флейма.

PS
А вот первый пример про содрудника полезшего в открытую дыру, IMHO просто не коректен, не фига лазить в чужие сети, даже  если все остальные там уже побывали. Последствия могут быть плачевными, ну Вы сами рассказывали...

-- 
С уважением,
Лаптев Андрей

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

>
>
>Нет, но на работу не взял бы.
>
>  
>
ещё один "управленец" [(С) by В.Л.] ;)

Re: [Comm] Связь с компьютером за NAT

[Serge Ryabchun]

On Thu, 17 Oct 2002, Sergey S. Skulachenko wrote:

> On 17 Oct 2002 23:01:17 +0400
> "Albert R. Valiev" <darkstar@altlinux.ru> wrote:
> 
> > > > > Есть ли возможность организовать связь с компьютером в
> > > > > локальной сети (за NAT), то есть выйти на него снаружи.
> > > > > Например, на свой рабочий комп (IP из пула для локальных
> > > > > сетей) с домашнего. То есть я понимаю, что одна из целей
> > > > > NAT- чтобы снаружи машины в локалке не видели. Но, может,
> > > > > есть способ обойти?
>  
> > Сергей, вы ничего не перепутали? Это не является вопросом, "как
> > взломать сеть и попасть на компутер за NAT", слова "взломать"
> > вообще не было. И человеку объяснили, что для выполнения
> > требуемой задачи он должен соответстсвующим образом настроить
> > маршрутизатор. Не вижу, где о взломе... постарайтесь пожалуйста
> > повнимательней читать сообщения и ответы на них.
>  
> Альберт! Давайте вместе читать внимательно, что пишет Ионан (не
> я). Он отлично понимает, "что одна из целей NAT- чтобы снаружи
> машины в локалке не видели." А теперь и Вы должны понять, что
> если рабочая станция, находящаяся в сети, видна снаружи, то сеть
> взломана.

Вам все ж стоит сменить поставщика травы. По Вашему если я внутри
сети запустил на каком-нить хосте из под xinetd сервер, отфорвардил
с файервола порт на этот хост:порт, то уже опаньки? Один из моих
внутренних хостов виден снаружи, моя сетка взломана?

#cat server
#!/bin/bash
/bin/echo "Пшел вон."

Ну-ну, ломайте.

-- 
Serge Ryabchun sr@energy.uch.net

Re: [Comm] ó×ÑÚØ Ó ËÏÍÐØÀÔÅÒÏÍ ÚÁ NAT

[å×ÇÅÎÉÊ ëÏÂÚÅ×]

----- Исходное сообщение -----
От: "Sergey S. Skulachenko" <sssku@online.ru>
Кому: <community@altlinux.ru>
Отправлено: 18 октября 2002 г. 11:21
Тема: Re: [Comm] Связь с компьютером за NAT


> On Fri, 18 Oct 2002 10:21:31 +0400
> "Anton V. Boyarshinov" <boyarsh@ru.echo.fr> wrote:
>
> >  Обстоятельства бывают разные. То, что
> > сотрудник может среди ночи поднять упавший по какой-то причине
> > сервис, это не всегда плохо. Это может быть его обязанностью.
>
> В организациях, заботящихся о своей безопасности, это запрещено.
> Минимальное решение: администратор получает ночью сообщение на
> свой мобильный телефон от системы. Он оценивает по своему опыту,
> нужно ли ему немедленно ехать на работу либо достаточно придти
> утром на час раньше. Лучшее решение: дежурный ночной смены,
> который находится внутри сети, за ДМЗ. У него есть инструкция
> (ночью думать сложно), и с ним администраторы могут поговорить,
> помочь ему. У нас было две дежурных смены, в административном и
> техническом центрах. Отличное подспорье для студентов старших
> курсов. Их зарплата с лихвой окупалась при первой же аварии. Эту

Вот так всегда...
Построим бетонный бункер, посадим туда админа, выпускать попИсать будем
по расписанию и в сопровождении 100 человек, приставим к нему
охрану из взвода спецназа.
А потом пригласим студена-дежурного за 100 бакинских в месяц,
которого конкуренты перекупят за единоразовые 500.

> службу я организовал по собственной инициативе.
> Но обстоятельства бывают разные. Если нет секретов, которые стОит
> охранять так тщательно, то нет и проблем. Улалённо, telnet'ом,

Если есть секреты, то _таких_ вопросов не задают.
На них просто знают ответы.

> открытым текстом - вперед!

Хех... флеймище то раздули...
Человек спросил какими способами ему достучатся до машинки за NAT.
А тут чего только не было... злобные хакеры... ОМОН... Моссад с ЦРУ...
Видимо пятница.

[Comm] Re: [Comm] Связь с компьютером за NAT

[Jonan]

Здравствуйте!
А может ли кто вкратце объяснить, что такое за зверь Shiva VPN (порождение
Intel'a), и как с ним общаются. Кое-что я на сайте Интела нарыл, но пока не
понял главного - есть ли свободный клиентский софт под Лин и под Вин для
общения через Shiva с внутренней сеткой. (Админ сегодня не на работе, а по
моб. телефону  много не обсудишь :-).

Знаю, что стоит он у нас между PDC/файл-сервером и роутером


Йонан


----- Original Message -----
From: "Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru>
To: <community@altlinux.ru>
Sent: Thursday, October 17, 2002 4:32 PM
Subject: Re: [Comm] Связь с компьютером за NAT


> Jonan wrote:
>
> > Здравствуйте!
> >
> > Есть ли возможность организовать связь с компьютером в локальной сети
> > (за NAT), то есть выйти на него снаружи. Например, на свой рабочий
> > комп (IP из пула для локальных сетей) с домашнего.
> > То есть я понимаю, что одна из целей NAT - чтобы снаружи машины в
> > локалке не видели. Но, может, есть способ обойти?
> > Интерусуют варианты Линукс - Линукс,  с Линукс на Вин, с Вин на Линукс
> >
> можно:
>
> 1. сделать, чтобы этот комп сам инициировал канал связи например
> периодически, но если дома у тебя не выделенный IP, или
> динамический, то ничего не получится...
>
> 2. можно зайти по ССШ/телнет на сервак, который делает NAT а оттуда по
> ССШ/Телнет на свой комп, но для этого надо иметь логин на сервере
>
> 3. если на компе стоит вин, то без доп софта зайти извне невозможно
> (исключая конечно всякие дырки;-), хотя в 2К вроде есть Телнет-сервис,
> но он страшненький;)
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
>
>

[Comm] Re: [Comm][JT] намерение вопроса (was: Связь с компьютером за NAT)

[Jonan]

Сергей, в свете последних терактов я точно знаю, какую книжку Жюля Верна Вы
бы запретили на корню и сожгли бы во всех библиотеках - "Таинственный
остров" (там учат взрывчатку делать). Не говорю уж про "Графа Монте-Кристо".

Вспомнилось мне тут, как летом кой-кто активно защищал астрологию:-)
Так вот, кое-кто, если уж так его волнуют намерения автора вопроса, мог бы
построить хорарный гороскоп на оный вопрос и проверить намерения автора.
Только не рассказывайте мне, что это невозможно :-) С прямыми-то руками.

Несколько лет назад я работал "за рамкой". И босс мой там работал, и
админ... Там, знаете ли, мобильные телефоны собирали. В соседнем цехе. А
потом босс перешел директором в мою нынешнюю контору и нас с админом вслед
сманил.
Вот только в этой конторе рамок не ставят - бессмысленно. Карточки есть, а
рамок нету.

А насчет доступа к информации... С Ericsson'a в пределах моих полномочий я с
любого места по моему логину могу получить нужную документацию. Безо всякой
IP-авторизации. Такова их система. И с еще одной базы данных тоже (через
Citrix, например). Так что все это вопрос добросовестности.

Прошу прощения комьюнити за невольную провокацию флейма.

                                                           Йонан


----- Original Message -----
From: "Sergey S. Skulachenko" <sssku@online.ru>
To: <community@altlinux.ru>
Sent: Thursday, October 17, 2002 7:47 PM
Subject: Re: [Comm] Связь с компьютером за NAT


> то, что написано мною выше. Не суетитесь так. Вполне возможно,
> что Йонану поручено по контракту заниматься исследованием
> устойчивости к взлому собственной сети. Пусть занимается. Но это
> не тема для данного листа рассылки.
> Поиск кряков через лист рассылки - это нормально? Или Вы не
> понимаете, о чём я говорю?
> _____________
> С уважением,
> С.С.Скулаченко
>

Re: [Comm] Связь с компьютером за NAT

[Valentin Nechayev]

 Fri, Oct 18, 2002 at 10:44:16, sssku wrote about "Re: [Comm] Связь с компьютером за NAT": 

> Алексей, я, ведь, тоже озорник. Я тоже использовал для доступа к
> своей рабочей станции RAS под NT, а ещё удобнее через WinView
> (WinFrame). В последнем случае работаешь из дома на
> удалённой рабочей станции и можешь запускать любые программы,
> установленные на ней. Трафик маленький. Жутко удобно!
> Но _сейчас_ я говорю, что так делать нельзя. И нельзя в этом

Вот простой пример, когда это действительно нужно и можно: через static NAT
пробрасываются входящие на порт 25 на натовый хост - на порт 25 на некоем
тазике внутри сети, который работает mail-сервером. Или то же для порта 80.
Я такие конфигурации вижу на каждом шагу. И почему-то никто не начинает
кричать, что это безумная дыра в защите.

Исходный вопрос был очень близок к этому. А Вам... с моей точки зрения,
Ваши ответы совершенно неадекватны.

> Почему это дыра, я уже объяснил Максиму. Нет контроля за Вашей
> домашней машиной. Трансляция адресов прописана, всё сделано
> аккуратно и профессионально. Но кто в данный момент сидит за
> клавиатурой Вашей домашней машины, никогда не известно точно. Вот
> во внутренней сети за ДМЗ круг лиц всегда определён (известно,
> кто проходил через рамку, кто входил в помещение, открыв его
> своей чиповой картой и т.д.)

Давайте запретим вообще любой доступ по паролю. Это ведь security by
obscurity, не так ли? Каждый может узнать чужой пароль, зажав отдельные
органы в тиски. Только вот в чем фигня - есть масса мест, в которых
такой уровень безопасности _достаточен_, более навороченные меры
_не окупаются_. Я подчеркнул.


/netch

[Comm] Re: [JT] Связь с компьютером за NAT

[Igor Homyakov]

On Fri, Oct 18, 2002 at 12:05:27PM +0300, Valentin Nechayev wrote:
> Вот простой пример, когда это действительно нужно и можно: через static NAT
> пробрасываются входящие на порт 25 на натовый хост - на порт 25 на некоем
> тазике внутри сети, который работает mail-сервером. Или то же для порта 80.
> Я такие конфигурации вижу на каждом шагу. И почему-то никто не начинает
> кричать, что это безумная дыра в защите.

Согласен полностью. 

На мой взгляд, просто не надо забывать что проброс портов посредствам (DNAT) 
представляет просто доступ к внутренему серверу без выделения ему внешнего ip.
Не более того. Это не плохо ни хорошо это просто СПОСОБ (один из многих ) 
организовать доступ. Сам по себе он не обеспечивает защиты. 

К сожалению существует мнение: "Вот мы пробросим, (80|25|53)-ый порт и тем 
самым защитим www сервер от атак". Это не так.

--
Igor Homyakov
<homyakov at altlinux dot ru>
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=190141

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Fri, 18 Oct 2002 11:41:20 +0400
"Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:

> идеалист, блин!
> ты не пробовал на 100км от москвы отъехать ?

Пробовал. Сеть, о которой я говорю, имеет протяжённость волокна
по Москве больше, чем протяженность линий метро. А удалённые
офисы от Калининграда до Петропавловска-Камчатского. Я пробовал.

_____________
С уважением,
С.С.Скулаченко

Re: [Comm] Связь с компьютером за NAT

[Dmitry E. Oboukhov]

Sergey S. Skulachenko wrote:

>On Fri, 18 Oct 2002 11:41:20 +0400
>"Dmitry E. Oboukhov" <node@avanto.mpei.ac.ru> wrote:
>
>  
>
>>идеалист, блин!
>>ты не пробовал на 100км от москвы отъехать ?
>>    
>>
>
>Пробовал. Сеть, о которой я говорю, имеет протяжённость волокна
>по Москве больше, чем протяженность линий метро. А удалённые
>офисы от Калининграда до Петропавловска-Камчатского. Я пробовал.
>
>  
>
ну и?
не видел что-ли ни одной конторы в которой
всего два-три компьютера, иногда даже в сеть не объединенные ?
поучи их жизни: куда им рамку поставить, и
куда службу охраны из 300 человек, и сколько тебе
за эту идею отчислять надо... ;)

ЗЫ: в любой системе безопасности самое узкое звено -
человеческий фактор. Поэтому даже компьютер хранящийся
в сейфе глубоко под землей вдали от всяких, в том-числе
и электрических, сетей может подвергнуться взлому.
Поэтому учится прятать котлеты надо у котёнка Гава ;)

Re: [Comm] Re: [Comm][JT] намерение вопроса (was: Связь с компьютером за NAT)

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 280 bytes --]

On Fri, 18 Oct 2002 11:39:20 +0300
"Jonan" <JonanLinux@hotbox.ru> wrote:

> Сергей, в свете последних терактов я точно знаю, какую книжку
> Жюля Верна Вы

Удалитесь в talk-room, пожалуйста.

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] [JT] намерение вопроса

[Sergey S. Skulachenko]

On Fri, 18 Oct 2002 11:39:20 +0300
"Jonan" <JonanLinux@hotbox.ru> wrote:

> Так вот, кое-кто, если уж так его волнуют
> намерения автора вопроса, мог бы построить хорарный гороскоп на
> оный вопрос и проверить намерения автора. Только не
> рассказывайте мне, что это невозможно :-) С прямыми-то руками.

Никаких проблем, Вы правы.
 
> А насчет доступа к информации... С Ericsson'a в пределах моих
> полномочий я с любого места по моему логину могу получить
> нужную документацию. Безо всякой IP-авторизации. Такова их
> система. И с еще одной базы данных тоже (через Citrix,
> например). Так что все это вопрос добросовестности.

Мой племянник работает в Германии на фирме, производящей
Мерседесы. Там контролируется _вся_ личная почта сотрудников и
_все_ их телефонные переговоры. Кстати, так же, как и на фирме,
где я работал. Устройства контроля Управление телекоммуникаций
обслуживало :-) (И это не причуда. Дилеры часто сделки голосом
подтверждают, нужен архив. Мат жуткий висит. Специфика.)

> Прошу прощения комьюнити за невольную провокацию флейма.

И я тоже. За то, что ввязался. Тем более, что все идеалисты и
знатоки русской глубинки уже высказались.
_____________
С уважением,
С.С.Скулаченко

[Comm] Re[2]: [Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Maksim Otstavnov]

Hello Alexey,

Friday, October 18, 2002, 9:54:51 AM, you wrote:

AIF> On Fri, Oct 18, 2002 at 01:44:28AM +0400, Maksim Otstavnov wrote:
>> "Кряканье" _своей_ программы при невозможности пользоваться
>> ею без этого --- вполне легальное (и даже специально
>> защищаемое законом) действие.
AIF> Вот только фирма производитель вполне может послать вас в
AIF> пешее эротическое путешествие, если вам понадобится саппорт
AIF> этой легально купленной, но все равно "крякнутой" программы...

AIF> "Ломать" легально купленные проги можно, но за это ничего не
AIF> будет - ни саппорта, ни обновлений ;-)


Обычно "кряк" откатывается.

-- 
-- Maksim

[Comm] Re[2]: [Comm] Связь с компьютером за NAT

[Maksim Otstavnov]

Hello Sergey,

Friday, October 18, 2002, 10:44:16 AM, you wrote:

SSS> Но _сейчас_ я говорю, что так делать нельзя. И нельзя в этом
SSS> листе рассылки обучать непосвящённых, каким способом устроить
SSS> дыру в безопасности собственной сети. Как повысить безопасность -
SSS> обязательно надо обсуждать. Но чувствуете, это совсем другая
SSS> тема?

Сергей, если Вы думаете, что это не одна и та же тема, Вы заняты не
своим делом.

Сходите в библиотеку, почитайте что-нибудь по безопасности, честное
слово.

Все Ваши суждения совершенно неправомерно обобщают опыт одной
организации; рискну предположить, что на самом деле опыт крайне
отрицательный.


-- 
-- Maksim

[Comm] Re: [Comm][JT] намерение вопроса (was: Связь с компьютером за NAT)

[Maksim Otstavnov]

Hello Jonan,

Friday, October 18, 2002, 12:39:20 PM, you wrote:

J> Сергей, в свете последних терактов я точно знаю, какую книжку Жюля Верна Вы
J> бы запретили на корню и сожгли бы во всех библиотеках - "Таинственный
J> остров" (там учат взрывчатку делать).

Нет, Жюль поступил даже хуже Сергея, оба его рецепта, приведенные в ТО
--- и пироксилина, и нитроглицерина --- неверны.

К его (Верна) чести следует заметить, что рецепт черного дымного
пороха (в ТО или какой-то другой книжке) все-таки абсолютно точный :)

-- 
-- Maksim

Re: [Comm] Связь с компьютером за NAT

[Igor Solovyov]

On Fri, 18 Oct 2002 11:21:16 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> >  Обстоятельства бывают разные. То, что
> > сотрудник может среди ночи поднять упавший по какой-то причине
> > сервис, это не всегда плохо. Это может быть его обязанностью.

Например у меня таковы обязанности.

> В организациях, заботящихся о своей безопасности, это запрещено.

Неправда, бывают случаи, когда необходимо обеспечивать круглосуточную
работу серверов, рутеров, банкоматов, модемов и т.п.

> Минимальное решение: администратор получает ночью сообщение на
> свой мобильный телефон от системы. Он оценивает по своему опыту,
> нужно ли ему немедленно ехать на работу либо достаточно придти
> утром на час раньше. 

Или достаточно воспользоваться ssh, как в моем случае.
Вчера вечерком пользовался. :-))))

> Лучшее решение: дежурный ночной смены,
> который находится внутри сети, за ДМЗ. У него есть инструкция
> (ночью думать сложно), и с ним администраторы могут поговорить,
> помочь ему. У нас было две дежурных смены, в административном и
> техническом центрах. Отличное подспорье для студентов старших
> курсов. Их зарплата с лихвой окупалась при первой же аварии. Эту
> службу я организовал по собственной инициативе.

Это не лучшее решение IMHO. Далеко не все оперативные проблемы
таким дежурным по силам решить. Ну например, полегли два (из трех)
каналов связи(такое редко, но все же бывает), нужно срочно переписать
маршрутизацию (динамическая в силу некоторой специфики неприемлима).
А на все случаи жизни инструкций не придумаешь. Да я и не доверю
никакому дежурному лезть что-то менять в работе сети. Если он
сделает что-то не то, например сеть встанет до утра, за это
серьезно накажут меня, а не дежурного. IMHO, если и есть дежурный,
то единственной его задачей должно быть - оповещение кого следует
в случае возникновения проблем.

> Но обстоятельства бывают разные. Если нет секретов, которые стОит
> охранять так тщательно, то нет и проблем. Улалённо, telnet'ом,
> открытым текстом - вперед!

Похоже Вы не доверяете ssh? :-)))

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] Связь с компьютером за NAT

[Sergey S. Skulachenko]

On Fri, 18 Oct 2002 19:27:15 +0600
Igor Solovyov <gosha@zkb.ru> wrote:

> Похоже Вы не доверяете ssh? :-)))

Игорь, одним из читателей  дана команда "Удалитесь в talk-room,
пожалуйста." После этого по правилам обсуждение должно быть
прекращено. Я молчу.
_____________
С уважением,
С.С.Скулаченко

[Comm] STOP THIS (was: Re: [Comm] Связь с компьютером за NAT)

[Андрей Булава]

On Fri, 18 Oct 2002, Igor Solovyov wrote:

<skip>

>
> Похоже Вы не доверяете ssh? :-)))

_Настойчиво_ прошу перенести обсуждение в talk-room. Вместо помощи
задавшему вопрос здесь ведётся нерелевантный разговор даже без попытки
сменить тему треда. А тем временем, возможно, вопрошающий с надеждой
ожидает каждого нового ответа.

"А я так думаю: не хочешь срать - не мучай жопу".

Оговорка, чтобы прикрыть себе задницу (C) View Askew: процитировано по

Симонс Д. Гиперион / Пер. с англ. А.А. Короткова, Н.А. Науменко. - М.:
ООО "Фирма "Издательство АСТ", 1998. - С. 163, третий абзац сверху

P.S. Я тоже люблю пофлеймить, но это вопрос времени и места.

>
> --
> Best regards!
> Igor Solovyov

--
С наилучшими пожеланиями,
 Андрей Булава [ AB1002-UANIC ]
Информационный центр ДонНТУ

Re: [Comm] Связь с компьютером за NAT

[Igor Solovyov]

On Fri, 18 Oct 2002 17:44:39 +0400
"Sergey S. Skulachenko" <sssku@online.ru> wrote:

> > Похоже Вы не доверяете ssh? :-)))
> 
> Игорь, одним из читателей  дана команда "Удалитесь в talk-room,
> пожалуйста." После этого по правилам обсуждение должно быть
> прекращено. Я молчу.

Я просто как всегда не дочитал тред до конца, взявшись отвечать.
Извиняюсь. В другой раз буду исправнее. :-)))

Но вообще-то тема интересная и если исключить эмоции, то можно
было бы и продолжить ее. Меня, к примеру, вопросы организации
администрирования с точки зрения безопасности очень даже 
интересуют просто по долгу службы.

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] STOP THIS (was: Re: [Comm] Связь с компьютером за NAT)

[Igor Solovyov]

On Fri, 18 Oct 2002 16:51:32 +0300 (EEST)
Андрей Булава <raven@dgtu.donetsk.ua> wrote:

> _Настойчиво_ прошу перенести обсуждение в talk-room. Вместо помощи
> задавшему вопрос здесь ведётся нерелевантный разговор даже без попытки
> сменить тему треда. А тем временем, возможно, вопрошающий с надеждой
> ожидает каждого нового ответа.

Вопрос закрыт.

> "А я так думаю: не хочешь срать - не мучай жопу".
> 
> Оговорка, чтобы прикрыть себе задницу (C) View Askew: процитировано по
> 
> Симонс Д. Гиперион / Пер. с англ. А.А. Короткова, Н.А. Науменко. - М.:
> ООО "Фирма "Издательство АСТ", 1998. - С. 163, третий абзац сверху

А вот это уже из области воспитания. :-)
Тем более, что указанное изречение принадлежит отнюдь не указанному
автору, а как известно - народу. :-))

> P.S. Я тоже люблю пофлеймить, но это вопрос времени и места.

Все мы грешны. :-)

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia

Re: [Comm] Re: [Comm] Связь с компьютером за NAT

[Ilya Palagin]

Sergey A. Kolesnitchenko wrote:
> J> То есть я понимаю, что одна из целей NAT - чтобы снаружи машины в
> J> локалке не видели. Но, может, есть способ обойти?
> J> Интерусуют варианты Линукс - Линукс,  с Линукс на Вин, с Вин на Линукс
> Еще вариант. Поставить на сервере с натом форвардинг (ipfwadm). Допустим вы
> коннектитесь из дома на _определенный_ порт сервера, где в правилах
> форвардинга указано, что если коннектятся на этот порт то запрос
> перенаправляется на ваш рабочий комп.
>
Мне так удалось из дома с помощью VNC зайти на NT сервер через модем.
Тормоза страшные, но работало.
Linux(VNC клиент) <-> Linux(iptables+NAT rules) <-> NT(VNC сервер)