Hlavní navigace

Vlákno názorů k článku Zpravodaj z normalizačního dění od jr - Jak často je databáze 'port-numbers' updatována ? Možná...

  • Článek je starý, nové názory již nelze přidávat.
  • 10. 3. 2002 16:23

    jr (neregistrovaný)
    Jak často je databáze 'port-numbers' updatována ? Možná jen neumím číst, ale o tomto se v RFC3232 nemluví. Jak má potom správce firewallu poznat, co se v té databázi změnilo a co přibylo/ubylo ? Takže od teď nezbývá než každý den sledovat, jestli nedošlo k nějaké změně ? No tě buch. Mimochodem, nevím sice, jakým způsobem IETF funguje, ale myslím, že portrange 6665-6669/tcp/udp nepoužívá jen IRCU (IRCU = undernet IRC ?), ale celá řada dalších IRC implementací, takže je zcestné jej v databázi uvádět jako IRCU (mělo by být IRC general). A také nechápu, proč musí mít každá aplikace, která nějak potřebuje komunikovat po TCP/IP, svůj vlastní IANA-assigned port v databázi (zde např. Descent 3), která není pro funkci sítě nijak zásadní. Vždyť takto se onen 16bitový rozsah portů zakrátko vyčerpá.
  • 10. 3. 2002 17:03

    Petr Souček (neregistrovaný)
    Ta databáze se už řadu let updatuje průběžně a je to jenom taková pomůcka, moc se nedodržuje a nedoporučuji ji brát moc vážně, protože jinak se budete divit, jaké exotické služby vám ve vaší síti běží :-)

    Jako správce firewallu máte dvě možnosti - buď vše zakázat, a určité služby povolit, nebo vše povolit, a určité služby zakázat. V prvním případě Vás Vaši uživatelé požádají o zpřístupnění nové služby, až ji budou potřebovat, což může být i dříve, než bude oficiálně zaregistována, v druhém případě se stejně orientujete podle aktuálního stavu - takový backorifice nebo jiní trojští koňové si asi před svým šířením nenechají port zaregistrovat :-)

    Takže vidíte, že nakonec RFC3232 vlastně k ničemu nepotřebujete.
  • 10. 3. 2002 23:36

    Dan Lukes (neregistrovaný)
    Spravovat firewall na zaklade 'port-numbers' neni dvakrat dobry napad - popravde receno, nenapada me zadna metodika dobre spravy firewallu, kde by pravidelne sledovani tohoto seznamu bylo ucelne.

    Je lhostejne, kdo vsechno nejaky port pouziva - dulezite je komu nebo spise jakemu protokolu byl k pouzivani pridelen (ostatni jej pouzivaji neopravnene).

    Kazda aplikace nemusi mit pridelen svuj port - kazdy server ale musi byt NEJAK kontaktovatelny. Prideleni cisla portu je jednou, nikoli jedinou moznosti (pravda, obvykle se port neprideluje aplikaci, ale protokolu). Zatim to stale nevypada, ze by se prostor nejak kriticky vycerpaval. Mimochodem, k pridelovani je urcena jen pomerne mala cast z 16 bitoveho rozsahu ...

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).