Странно, а почему это работает? Skype+firewall

← →
ВотЭтаДАкающий (2007-01-31 15:08) [0]

Может, кто сталкивался: есть ПК з Zone Alarm Pro, на нем же прокси и доступ в Интернет. Zone Alarm настроен так, что ни одна программа даного ПК не может "сервачить" для Интернета. На другом компе поставил Skype. Брандмауэр (хр сп2) спросил, разрешать ли входящие соединения для Скайпа, я ответил что я не против. А потом вспомнил, что есть ведь и файрволл. Но Скайп заработал, и дозвониться на него можно, но я не могу понять -- почему файрволл это дело пропускает? Получается, что все кому не лень может запускать пакеты в такую локалку?

← →
ВотЭтаДАкающий (2007-01-31 16:19) [1]

Неужели нету админов, которые ставили Скайп на рабочих станциях, и хотят дать добрый совет, помочь мне?

← →
Сергей М. © (2007-01-31 16:28) [2]

> почему файрволл это дело пропускает?

Потому что Скайп при выполнении основных своих ф-ций не "сервачит" - он всего лишь клиент скайп-сервера.

← →
имя (2007-01-31 16:35) [3]

Удалено модератором

← →
имя (2007-01-31 16:37) [4]

Удалено модератором

← →
ВотЭтаДАкающий (2007-01-31 16:44) [5]

> Сергей М. © (31.01.07 16:28) [2]
> > почему файрволл это дело пропускает?Потому что Скайп при
> выполнении основных своих ф-ций не "сервачит" - он всего
> лишь клиент скайп-сервера.

т.е., если я Вас правильно понял, Скайп "сервачит", но для прокси нашей локалки, а тот -- соединён с другим сервером, который уже "сервачит" так "сервачит"?

← →
tesseract © (2007-01-31 16:49) [6]

> Неужели нету админов, которые ставили Скайп на рабочих станциях,
> и хотят дать добрый совет, помочь мне?

Ставил, без редира гад не пашет, прокси прямое соединение открыть не может.

← →
savva © (2007-01-31 16:58) [7]

позволю себе предположить, что в Skypу используется UDP протокол. а понятие "Server" к этому протоколу все-таки слабо применимо...

← →
Сергей М. © (2007-01-31 17:01) [8]

> ВотЭтаДАкающий (31.01.07 16:44) [5]

Что, по-твоему, есть "сервачить" ?

← →
Сергей М. © (2007-01-31 17:03) [9]

> savva © (31.01.07 16:58) [7]

Нет, Скайп как раз таки использует TCP.

← →
ВотЭтаДАкающий (2007-01-31 17:07) [10]

> Сергей М. © (31.01.07 17:01) [8]
> > ВотЭтаДАкающий (31.01.07 16:44) [5]Что, по-твоему, есть
> "сервачить" ?

слушать трансвортные порты, принимать соединения, дальше -- обмениваться по протоколу прикладного уровня с удаленным сокетом...

← →
Сергей М. © (2007-01-31 17:09) [11]

> ВотЭтаДАкающий (31.01.07 17:07) [10]

Все верно.
ТОгда след.вопрос, а зачем Скайпу "сервачить" ?

← →
ВотЭтаДАкающий (2007-01-31 17:13) [12]

> Сергей М. © (31.01.07 17:09) [11]
> > ВотЭтаДАкающий (31.01.07 17:07) [10]Все верно.ТОгда
> след.вопрос, а зачем Скайпу "сервачить" ?

так он же p2p, а там не всё так просто -- ведь нету централизированного сервера, следовательно (не читал, признаюсь, исходники Скайпа) он должен инициировать соединение с рядовым пользователем для того чтобы сообщить ему о том, что ему звонят или обменяться с ним долькой общей информационной базы -- здесь не Ася, где все ходят под Америкой Онлайн.

← →
savva © (2007-01-31 17:17) [13]

> Сергей М. © (31.01.07 17:03) [9]
> Нет, Скайп как раз таки использует TCP

ну на логин и функционал аськи - да, но голос - UDP

специально залез и глянул
Voice quality and some other aspects of Skype functionality will be greatly improved if you also open up outgoing UDP traffic to all ports above 1024, and allow UDP replies to come back in.
http://support.skype.com/index.php?_a=knowledgebase&_j=questiondetails&_i=148&nav=+%26gt%3B+%3Ca+href%3D%27index.php%3F_a%3Dknowledgebase%26_j%3Dsubcat%26_i%3D8%27%3ETechnical%3C%2Fa%3E

← →
savva © (2007-01-31 17:19) [14]

кстати, вот тут сказано что надо дать роль сервера
http://www.skype.com/help/guides/firewall_zone.html

← →
Сергей М. © (2007-01-31 17:20) [15]

> ВотЭтаДАкающий (31.01.07 17:13) [12]

> так он же p2p

Так p2p вовсе не базовая его функциональность)

> здесь не Ася, где все ходят под Америкой Онлайн

Многие аськины клиенты точно также могут задействовать p2p-функциональность ("сервачить"), однако и там это не есть базовая функциональность. И точно так же как в случае со Скайпом аськины клиенты в режиме "сервачения" испытывают те же проблемы.

Да что далеко ходить !

Обычный FTP-клиент в составе IE - попробуй-ка выставить в его настройках опцию использования активного FTP-протокола - получишь теми же граблями по тому же лбу. Т.е. проблема "сервачения" через стенку - она общая.

← →
ВотЭтаДАкающий (2007-01-31 17:53) [16]

> Сергей М. © (31.01.07 17:20) [15]

> Да что далеко ходить !Обычный FTP-клиент в составе IE -
> попробуй-ка выставить в его настройках опцию использования
> активного FTP-протокола - получишь теми же граблями по тому
> же лбу. Т.е. проблема "сервачения" через стенку - она общая.
>

Так что, получается, что любой непасивный фтп-клиент сообщает сначала своё жалание соединиться, кладет трубку (разрывает транспортное соединение) и ждет входящего коннекта? И что в этом блоке запроса соединения? МАС-адрес компа с доступом в Интернет, а ІР -- локалальный адрес ПК с ФТП-клиентом? И как ОгненнаяСтена такое безобразие пропускает: кто-то из Интернета хочет зайти в локалку, а его взяли и впустили?

← →
Anatoly Podgoretsky © (2007-01-31 21:10) [17]

> ВотЭтаДАкающий (31.01.2007 15:08:00) [0]

Скайп это довольно мощный троян, дырку всегда найдет. Не надо на компьютере даже иметь выход в Интернет. Кроме того твой компьютер будет использоваться другими компьютерами для трансляции сообщений других компьютеров и ты об этом не узнаешь. Использоваться будут самые различные методы, что бы обойти защиты в виде файрволов и прокси. Часто будет использоваться SSL соединения, которые по умолчанию считаются безопасными.

← →
ВотЭтаДАкающий (2007-02-01 08:57) [18]

> Anatoly Podgoretsky © (31.01.07 21:10) [17]

не, ну о "выходе" то я и не спрашивал. Меня больше интересует "вход": какая информация содержится в пакете, который приходит на прокси_со_Стенкой, что он его пускает дальше, вглубь локалки? И, как видно, дело не только в Скайпе -- любой активный ФТП клиент так же себя ведет: проверл на Даунлоад Мастере и на Тотал Коммандере...

← →
Сергей М. © (2007-02-01 09:27) [19]

> ВотЭтаДАкающий (31.01.07 17:53) [16]

> Так что, получается, что любой непасивный фтп-клиент сообщает
> сначала своё жалание соединиться, кладет трубку (разрывает
> транспортное соединение) и ждет входящего коннекта?

Нет, не так. FTP-клиент соединяется с FTP-сервером и удерживает соединение A активным до конца сессии. Если предполагается активный режим, клиент создает дополнительно слушающее гнездо и сообщает номер его порта X серверу - входящее соединение В по этому порту будет использовано партнерами по данной FTP-сессии для приема/передачи собственно данных, в то время как соединение А - для приема/передачи команд/статуса.

Впрочем, это не суть как важно. Важно другое - как только хост FTP-сервера запросит соединение с хостом FTP-клиента по порту Х, активная стенка в зависимости от своих тек.настроек немедленно отреагирует на это событие, либо молча пропустив или отвергнув пакет либо запросив у юзера подтверждение на пропуск пакета.
Со Скайпом все точно так же, с той лишь разницей, что в этом случае аналогией активному FTP-режиму будет тот самый p2p-режим.

← →
ВотЭтаДАкающий (2007-02-01 09:46) [20]

> либо молча пропустив или отвергнув пакет

а почему именно происходит такое молчаливое пропускание -- ни одно приложение на ПК со Стенкой не может "сервачить", т.е., такие пакеты должны быть отвергнуты? Или нет? И куда пропускает прокси_со_Стенкой такой пакет? Ведь он по прибытии содержит IP адрес интерфейса ПК с выходом в Интернет, так ведь? Откуда же по пакету можно предположить какому ПК, спрятаному за Стенкой, предназначен даный пакет с запросом на установку ТСР-соединения?

← →
Сергей М. © (2007-02-01 10:10) [21]

> ВотЭтаДАкающий (01.02.07 09:46) [20]

Ты не путай прокси и стенку, даже если они реализованы в "одном флаконе"

Прокси - это посредник прикладного уровня.
Стенка - это "привратник", контролирующий прохождение данных транспортного и ниже уровней через сетевые интерфейсы.

Прокси нет никакого дела до существования Стенки, равно как и Стенке безразлично существование Прокси - у них разные епархии.

Почитай это:
http://book.itep.ru/4/44/ip_441.htm

← →
ВотЭтаДАкающий (2007-02-01 10:20) [22]

> Сергей М. © (01.02.07 10:10) [21]

может, як как то не так изъясняюсь -- вопрос в следующем. Что за такой запрос приходит от хоста ФТП, что:
а) файрволл его пропускает;
б) отправляет его дальше не "на деревню к дедушке" а на конкретный сокет внутри локалки (ведь так можно и, недай Бог, залезть и на порты, на которые мне бы не хотелось допускать всех желающих)

> Ты не путай прокси и стенку, даже если они реализованы в
> "одном флаконе"

да как их спутаешь? у них ведь иконки разные :)

← →
Sha © (2007-02-01 11:49) [23]

> ВотЭтаДАкающий (01.02.07 08:57) [18]
> не, ну о "выходе" то я и не спрашивал. Меня больше интересует "вход":
> какая информация содержится в пакете, который приходит на
> прокси_со_Стенкой, что он его пускает дальше, вглубь локалки?

Ничего необычного. Тебе приходит UDP-ответ на твой UDP-запрос.

← →
Сергей М. © (2007-02-01 12:15) [24]

> а) файрволл его пропускает

Если пропускает, значит для таких пакетов установлено разрешающее правило.

> б) отправляет его дальше не "на деревню к дедушке" а на
> конкретный сокет внутри локалки

Собственно файрволу это глубоко фиолетово.
Это уже епархия NAT"а.

← →
ВотЭтаДАкающий (2007-02-01 12:15) [25]

> Ничего необычного. Тебе приходит UDP-ответ на твой UDP-запрос.

при чём тут UDP? Работа активного FTP-клиента приходит именно посредством TCP-протокола. И в посте [19] это доходчиво расписано!

← →
ВотЭтаДАкающий (2007-02-01 12:45) [26]

Это снова я :)

Давайте разберем по полочкам:
1) ftp-клиент сообщает на прикладном уровне удаленному серверу о том, что у него открыт порт, скажем, 2007; так?
2) удаленный сервер формирует пакет с запросом на соединение сокетом. Но каким? локальный_адрес:2007 или реальный_адресс:2007? Первый запрос попросту не дойдет -- роутеры содержат путей к локальным адресам; второй, надеюсь, будет отклонен файрволлом. Так ведь?
3) но всё работает, значит, как-то запрос находит локальный комп"ютер.
Так что же происходит в пп. 1-2?

← →
Сергей М. © (2007-02-01 13:15) [27]

http://www.oszone.net/1395/

← →
ВотЭтаДАкающий (2007-02-01 14:11) [28]

> Сергей М. © (01.02.07 13:15) [27]
> http://www.oszone.net/1395/

видимо, Вы будете удивлены, но о NAT я слышал уже не один года назад!

> ...В отличае от классической динамической трансляции, маскарад
> не допускает организации входящих соединений...

Так каким же образом локальный сокет может принять запрос на соединение с ним от Интернет-хоста?

> каким же образом

образом port mapping

← →
ВотЭтаДАкающий (2007-02-01 14:36) [30]

Значит, файрволл всё таки разрешает открывать на "прослушку" порты? Т.е., имеем брешь?

> ВотЭтаДАкающий (01.02.07 12:15) [25]

>> Ничего необычного. Тебе приходит UDP-ответ на твой UDP-запрос.

> при чём тут UDP? Работа активного FTP-клиента приходит именно
> посредством TCP-протокола. И в посте [19] это доходчиво расписано!

Не возмущайся, а разуй глаза - там ясно написано это ответ на сабж и,
в частности, на твой пост [18]

> ВотЭтаДАкающий (01.02.07 14:11) [28]
> видимо, Вы будете удивлены, но о NAT я слышал уже не один года назад!

Видимо, недостаточно доходчиво слышал )))

← →
ВотЭтаДАкающий (2007-02-01 15:05) [33]

Столько постов месим воду в ступе. :)
Лучше скажите: такое поведение программ может служить поводом для паники? Или нету угроз безопасности комп"ютеров внутри такой локальной сети?

> файрволл всё таки разрешает открывать на "прослушку" порты?

Файрволу начхать на "прослушку" - он оперирует на уровнях ниже транспортного.

> ВотЭтаДАкающий (01.02.07 15:05) [33]

Сам виноват. Нефиг было в одну ветку 10 тем валить.
Угроз нет.

> Сергей М. (01.02.2007 15:08:34) [34]

Файрволы разные бывают, ты видимо про фильтрацию пакетов, так называемые пакетные файрволы, которых большинство в корпоративной среде. Персональные файрволы работают и на этом уровне и выше и даже совсем высоко на прикладном уровне.

> ВотЭтаДАкающий (01.02.2007 14:11:28) [28]

Открыв порт, как работает НАТ объяснять не хочу. Но порты всегда открывают, что бы ты не делал изнутри локалки, поскольку открываются они именно изнутри, без этого работа в Интернет не возможна.
Ну а скайп по принципу работы является тривиальных и злым трояном, единственно почему его таким не признают, то только потому что ты его сам устанавливаешь. Большинство корпораций не в состоянии бороться с ним, поскольку очень злой, всегда найдет дыру и предоставит эту дыру кому угодно, даже за пределами твоей сети, такова его природа и назначение.

← →
ВотЭтаДАкающий (2007-02-02 09:05) [38]

> Открыв порт, как работает НАТ объяснять не хочу.

да мне понятно, что порт открыт. Не понятно другое: он ведь открывается на одной машине, а доступ в Интернет имеет другая машина и на ней слушать порты не позволяет файрволл. Но всё работает. Или же Скайп и, как выяснилось, активные ФТП-клиенты открывают порты на этой, второй машине а файрволл это дело не замечает?

> ВотЭтаДАкающий (02.02.07 09:05) [38]

Тебя не удивляет, что DNS работает?
Здесь все очень похоже. Только ответ приходит их другой локалки.

← →
ВотЭтаДАкающий (2007-02-02 10:53) [40]

> Sha © (02.02.07 10:24) [39]

Не хочу показаться грубым и не благодарным, но Ваш ответ мне напомнил старый анекдот:
- Как работает трансформатор?
- ууууууууууу

А теперь серьезно. Имеем

ПК1-----ПК2(Прокси, Файрволл)----Интернет

Открыт сокет на ПК1. Ему попадает TCP-запрос на установку соединения? Или же ему доходит UDP-датаграмма с информацией, которая впоследствии используется ПК1 для установки транспортного соединение с Интернет-узлом? Или -- (Ваш вариант)

Странно, а почему это работает? Skype+firewall Найти похожие ветки