過去ログ
80.Delegateとsmtp |
|
| 投稿者: | Pyzar - 2003年06月08日 17時20分14秒 |
| でも… よくよく考えたらプロバイダのsmtpサーバーも qmailなり…sendmailはあまりないのかな…なんらかのプログラムでサーバーを立ち上げているのだから… そこで個人のとかプロバイダのとかサーバーの区別をつけるのは無理かな?? やっぱり、なにかfreecomのサーバーさんに対する挨拶がなにか足りないのかな?? コメント>> |
|
79.RE:[2] なんとか |
|
| 投稿者: | ぴゅあ - 2003年06月08日 15時28分54秒 |
| > 某氏がわたしのfreecomの・・・ 某氏にわたしのマシンの設定を直に見てもらって・・・ ということなんかな?? 具体的にどうなってるかは(調べてみるとかを含めて見てみるとか)わからんけど Delegateの設定方法絡みってことはないのかな? てかDelegateをSMTPサーバーとして動かしたいというのはどういう理由だったんかな サーバーとして動かしたい(プロクシではなく)というのは単に中継させるのではなくサーバーとしての機能が欲しいということだと思うけど(でなければ重くなるだけ) > Established Establishedとかで検索すると個々の意味も判る筈(単独の説明でも) --synもEstablishedもインターフェイス,IPアドレス,ポートとかでのアクセス制御よりもっと深いところにあるセキュリティ性の強いものと言えるんでしょうね これらはパケットに対して効果を齎します(つまりインターフェイス…等よりより細かく見ると言える) --synは接続してよと最初に送られてくるパケットを対象とする 例えばブラウザでURLを打ってhttpサーバーへページを見たいよと言ってきたとき FTPクライアントからftpサーバーに接続しようとしたときのftpサーバーに繋げようとする一番最初のとき とか いつ・どれが最初かというのは考えなくてもいいとして兎に角サーバーにアクセスしようとする一番最初にくるパケットを指します つまりこれを拒否すればサーバーには繋がらない(Establishedな状態にまで行かない)ということ Establishedは互いに接続が確立した状態のパケットを対象とする サーバーがパケットを受け取ってサーバーとクライアントが繋がったという状態です 繋がったというのは認証まで済んだとかってのではなく兎に角繋がったということです 例えば電話を掛けようとダイヤルし終わった頃(だ呼び出してなくて呼び出しが始まろうとしているとき)が--syn (受話器を上げると局に繋がっている音が聞こえている状態と思ってもいいのかな@局相手と考えるなら) 「お掛けになった電話番号は・・・」になったら相手は存在しないのでEstablishedになることはない 相手の呼び出し音が鳴ってるときがEstablishedて感じかな 相手が受話器を取ったとき(特に最近ではナンバーディスプレイで相手を確認して拒否しないとしたので受話器を取ったと考えるといいかも)はEstablishedとは別に認証手順が済んだということに相当する(その間もEstablished状態は続いている@回線が切れてないので) --synは接続しようとする最初のパケットなのでこれを受け取ると接続の開始を相手に提供できるようになります ! --synというのはそれ以外の中間のパケットなので(複数に分割された先頭パケットの意味ではない(なかった筈)@それはfragment)--synが来てないのに! --synが来るわけはないということから--syn以外は拒否するとしたりします サーバーが--synを受け取った後クライアントにパケットを返すときはどうするか 絶対に不正なパケットが送信されないとするなら単に流せばいいです しかし相手が接続要求していないのにサーバーから応答として送信したかのように送信されるのはおかしいです 怪しいソフトから適当なポートを使って送信されることを防ぐという意味ではサーバーマシン上で動いているポートのみを通過させるというのも手でしょう 実際その方が軽いと思います(無条件>ポート制限>Established) 何故ならEstablishedのためには接続確立状態をある程度覚えておかないといけないだろう(テーブル作成と検索処理が発生する)と思うからです(その辺の仕組みはちゃんと調べないと判らないが) 尤も実際にEstablishedが効果を見せてくれるのは接続確立状態で再びクライアントからサーバーへのパケットが来たときでしょう そのクライアントからは正しく--synが来て接続が確立できているのでそのまま通して問題ないということになります(ポート制限だと接続確立ができてないのに突然途中のパケットが来ても通してしまいます) でもってそのパケットが適切なものかどうかの判断を(ポート制限でやるにしても)いちいち書くのは面倒なのでEstablishedで済ませてしまうということができます Established 各種チェックを終えて互いに通信してもいいと決めたパケット つまり既にいいと決めてあるので各種チェックが省略できる(チェックリストのテーブルを再び見て行く必要がない=時間短縮)てこと 例えばまだ中途半端だが Established 通過 --syn(http) 通過 --syn(ftp) 通過 その他残り全て 拒否 としておくと--synで通過したものはそれ以降Establishedでまとめて通過処理できる 例えばtelnetの通過を追加したいときは「--syn(telnet) 通過」の追加のみでEstablishedの位置に相当する通過/拒否をhttp, ftpとか個々に書く必要がなくなる(実際には様々なチェックが入るのでもっと複雑になるがそれが簡素化される) 実際には Established 通過 ! --syn 拒否 http 通過 ftp 通過 その他残り全て 拒否 として--synをひとつにまとめる書き方をすることになるだろう --synを実際にはどう書くべきかというのがあやふやなので不完全だが(の中途半端の意) いや 合ってると思うけど まぁ--syn, Establishedはインターフェイスとかの制限に対してどれだけ相手が信頼できるかによるものと言えるでしょう ネットワーク管理を放棄したのもサーバーを含めて全マシンに触りたがり重役のマシンさえもパスワードを聞き出して触りたがるとか給与情報とか平気で口にすることを自慢したがるという無責任似非エンジニアが社員として徘徊してるので手を打つ処置なし(てか管理不可能)ってなわけだが(人の秩序なくセキュリティ確保は不可能) そんな処置が--synとかの利用ということにもなるでしょう ただし人社会での機密保持は「隠す」だがネットワーク社会では「公開することによってセキュリティを維持する」という人社会では想像も付かないほど壮大なものです かつてはOS内部の仕組みなんて簡単に公表していいのか(こういった話を簡単に書くとか)とも考えたことはあるけどそうではなく より知ることによってセキュリティを高める&多くの人が知ることによってより改善させる 不特定多数に知られるのがマズイと考えるんではなく知られている中でどうやってセキュリティを維持して行くかということなんですね 何故って知られないつもりで居たとしたらいざ知られたときには無防備状態ですから その中で知って欲しい人だけに適切に情報を提供するか それがイコール第3者からは保護状態にあるってことであり人社会での「隠す」と同等のことになります が当然それは先の実話にもある通りまず扱う人間性というのが第一ですが がんばって勉強するには山ほどと言えないほど多くのことがあるとても大きなものです がんばらねばね て このままうまく(?)行けば日本とはおさらばしてコンピュータなんぞ発展してないだろうとこに移住する(できる)んだろうが 日本でエンジニアはつまらんもんね そして何をするかって? さぁ? 羊飼いとかでもしてるんかな? てか羊が住んでるのかどうかも知らんけど(照) コメント>> |
|