Автоматический upload данных по Internet

[leonid]

А много народу будет этим пользоваться?
Если >2 то может быть имеет смысл поставить промежуточный сервак, который бы аккумулировал данные и имел бы выход наружу.
Тогда на это сервак логи можно было бы слать чем угодно, ftp, http, dcom etc. a уже с него секьюрно туда куда надо.
Тогда дырку надо удет открывать только для одного IP, да и выбор средств будет шире

Не совсем понял вопрос про количество народу. У каждого кастомера внутри firewall находится только один наш компьютер. По идее только для него и нужно открыть "дырку".

[leonid]

Автообновлялка сайтов. Программа сканирует каталог сайта на локальном компьютере, обнаруживает новые и измененные файлы и отправляет на сервер. Избавляет от рутинной работы ручного поиска.

Я в начале когда увидел, чуть не воскликнул "Эврика". Но вот про поддержку proxy/SOCKS они там ничего не пишут.
Например, на FTP клиенте от Total Comander имеются:
HTTP Proxy with FTP support, SOCKS4, SOCKS5, Firewall Login information и нечто несуразное "firewalluser PASS pass ACCT firewallpass". Что из этого понадобится мне - неизвестно. Значит нужно иметь все.

[Marmot]

2leonid
Я почему-то решил что у вас софт стоит на юзверных десктопах...
Короче, идей и ссылок уже много дали, фильтруй

[vg]

2leonid,

Не совсем понял вопрос про количество народу. У каждого кастомера внутри firewall находится только один наш компьютер. По идее только для него и нужно открыть "дырку".

Легко на любом фаревале, и даже не фаревол, а просто маршрутиризаторе, пишутся ACL, чтобы с одного компа в инет ходило то-то, я с другого (других) - то-то. Никакой угрозы "их" компам не будет вообще. Т.к. то, что будет открыто на вашем компе (в их конторе) не будет иметь никакого отношения к хостам их сеток.
Для админа - нагрузки 0. Ответственно вам заявляю. У меня не то, чтобы подсобные рабочие это делают, но начинающие - админы точно.

[Yury]

email-ом они пользуются?

Пользутся, но детали мне не известны. Скорее всего все идет через корпоративный mail-server и отправка SMTP с моего компьютера приветствоваться не будет. Да и наверное у каждого клиента есть свой лимит на размер сообщения, хорошо если 5М.

sendEmail не отправляет сообщения напрямую, а как раз
через корпоративный (ну или другой) мэйл-сервер.
Ограничения обычно даются на входящую почту.

[vg]

2leonid,

А почему Вы всё-таки не хотите сделать по HTTP?
Ведь должно работать железно. Только снабдите сою программку конфигурационным файлом, в котором будете указывать только две вещи: если у кастомера NAT - direct access, а если прокси - proxy_IP:port (как в настройках IE). SOCKS для HTTP не нужен будет.

[SS]

Leonid",
[trn]Vot moi 10 kopeek v tvoyu kopilku.

Chto tebe nado znat' pro vse wto:[/trn]
1) [trn]Ne byvaet "normal'nyh" kak i drugih prochih [/trn]firewall[trn]-ov iz tvoej klassifikacii! oni byvayut persnal'nye (na 1 mashinu) i korporativnye (naprimer [/trn]Cisco PIX, Checkpoint, etc).
2) [trn]Fajervolly ne znayut nichego pro proksi! Voobshe nichego! Vse opredelyaetsya naborom pravil (pravil'no skazal Morgot).[/trn]
3) [trn]Proksi servera ne est' fajervolly! U nih dlya wtogo net sposobnostej blokirovat' VES' trafik. T.e. esli ty obratilsya na proksi, on rabotaet, a esli net, to na wtom portu tebe mozhet otvetit' libo operacionka, libo chto to eshe. Fajervol zhe beret na sebya VSE! Krome togo proksi ne mogut peresobirat' pakety [/trn](packet reassembly)[trn]. Takzhe oni ne umeyut zashishat' protiv raznyh gadstej tipa [/trn]SYN flood[trn]. Powtomu luchse vsego dumat' pro proksi kak o trube: chto vshlo, to i vyshlo, bez izmenenij.[/trn]
4)SOCKS [trn]wto vsego lish' navsego specifikaciya dlya proksi serverov. V chem wti servera otlichayutsya ot drugih, wto v tom chto pri rabote cherez [/trn]SOCKS[trn] ty mozhesh' "privyazat'" nekij port glyadyashij vovnutr' k drugomu portu glyadyashemu naruzhu i kotoryj budet propushen fajervolom (opyat' taki v sootvetstvii s pravilami kotorye stavit admin). Voobshe, proksi servera prinyato stavit' v tak nazyvaemoj [/trn]DMZ - DeMilitarized Zone[trn], wto takaya podset', kuda imeyut dostup kompy iz vnutrennej lokashki, i kotoraya mozhet byt' (opyat' pravila fajervola), a mozhet i ne byt' propushena naruzhu opyat' taki fajervolom. Drugimi slovami, ty mozhesh' skazat' takomy sksovomu proksi chto to v duhe: "ya otkryvayu konnekshen, i vse chto pridet tebe v tvet na nego, transliruj mne". Svoego roda NAT, tol'ko s toj raznicej chto NAT ([/trn]DNAT - Destination NAT)[trn] transliruet otvety na 1 opredelennyj adres, a soksovyj proksi na togo kto otkryl konnekshen (dal emu komandu [/trn]MAP PORT[trn]). V wtom otnoshenii bol'she vsego pohozhe na maskarading.

Nazad k nashim baranam: dlya tvoej situacii ya by rekomendoval tebe slepit' sistemu iz klienta (rekomenduyu libo [/trn]PERL[trn] libo [/trn]Java[trn]) kotoryj budet vyzyvat'sya planirovshikom vindovsa skazhem kazhdyj chas na storone kastomera, i servera (u vas) kotoryj budet prinimat' infu ot klientov i skazhem lit' ee v bazu (mozhno i cherez [/trn]ASP[trn]). Estestvenno, rekomenduyu pol'zovat' [/trn]HTTP! [trn] [/trn]

[trn]Esli interesno, mogu nabrosat' primernyj kod dlya otpravki dannyh po HTTP, skazhem na [/trn]PERL.

[vg]

2SS,

Прокси сервера не есть файерволлы!

Эт точно.

У них для этого нет способностей блокировать ВЕСь трафик.

и вот это

Также они не умеют зашишать против разных гадстей типа SYN flood.

Эт неверно. Продукты MS всё это делают.

[SS]

Также они не умеют зашишать против разных гадстей типа SYN flood.

Эт неверно. Продукты MS всё это делают.

[trn] Potomu to oni navernoe i ne nazyvayut svoj produkt prosto proksi serverom, a [/trn]Microsoft Internet Security and Acceleration Server! [trn]Pochuvstvuj raznicu! [/trn]
[trn]I voobshe, "esli hochesh' byt' zdorov...", ne pol'zujsya melkomyagkimi produktami, ibo oni est' blagotvornaya sreda dlya vsyakih gemorroev! [/trn]

[vg]

2SS,vg:

Цитата:
Также они не умеют зашишать против разных гадстей типа SYN flood.
Эт неверно. Продукты MS всё это делают.

Потому то они наверное и не называют свой продукт просто прокси сервером, а Microsoft Internet Security and Acceleration Server! Почувствуй разницу!
И вообше, \"если хочешь быть здоров...\", не пользуйся мелкомягкими продуктами, ибо они есть благотворная среда для всяких геморроев!

Почувствовал разницу. Давно. И да и нет.... Благотворной средой для гемороев, согласитесь, является, как правило, всёж кривые руки админов. Для контор, где нет требований безопасности (и где они не сформулированы на бумаге в виде документа) прокси это очень простые решения. На это и клюют. Минимум знаний, минимум бабок, и ты Админ, и начальство чуйствует себя защищённым в критические дни. Я вовсе не защищаю здесь MS. И Вы правы, даже сами не знаете на сколько. - Вам никогда не встречались замечания от самого MS, что они рекомендуют ISA Server прикрывать Firewall -ом? Потеха. Здесь я пропостил почти буквально, что было сказано этими деятелями. Мне где-то встречалось.

Кроме того, существуют задачи, когда продукты MS, не то, чтобы и гимор, но просто не допускаются для использования в серьёзных конторах. Есть ещё смешнее решения, когда допустимо использовать MS, но сетку прикрывают ещё чем-то сверху, чем можно. Про это я пропостил, кстати, вскользь выше. Но это совковый опыт, и разумеется для бедных контор. А так, ктож спорит. Cisco, CheckPoint-ы всегда был лидерами. Но это денег стоит гооооораздо больших, чем MS Proxy или ISA Server.

[SS]

- Вам никогда не встречались замечания от самого MS, что они рекомендуют ISA Server прикрывать Firewall -ом? Потеха.

[trn] Da, davno ya tak ne smeyalsya! [/trn] [trn]Dejstvitel'no, deyateli![/trn] [trn]I wto oni nazyvayut [/trn] Internet Security Server?

[trn]I davajte vse zhe, esli ne vozrazhaete na ty, tak privychnee.[/trn]

[trn]Kstati, rekomenduyu esli chto poprbovat' besplatnye fajervoly, naprimer rabotayushie na Linukse ili FriBSD. U menya samogo domashnyaya setka prikryta [/trn]Linux+iptables+snort, [trn]i splyu spokojno.[/trn]

[vg]

2SS,
Я не очень опытный. Наверно, раз Вы говорите про линакс, значит так и есть. Но наши админы линаксами не балуются. Вы не поверите, но в мой среде, не то, что в качестве фаревола его не используют, даже программного маршрутиризатора. Хрен его знает, мож среда у меня такая плохая. А вот FreeBSD - это да! Это по-взрослому. Сам юзал, ipfw на FreeBSD 4.5 / 4.7. Правда без NAT-а, в корпоративной сети, по меди. К тому времени они пропостили, что заменили ipwf на новый ipfw1, даже маны написали в 4.7. Говорили пересобрать ядро. Пересобрал. Один хрен, кроме ipfw ничего нового не работало. Но вообще даже ipfw - круто. Хотелось всёж ipfw1 попробовать, по манам там вроде можно было даже опции транспорта и ip избирательно фильтровать. Не знаю, может сейчас и действительно сделали. Чай 4.9 сейчас, говорят, на дворе. Вообще FreeBSD - просто пестня. А линукс я не знаю и не поимаю. Как-то всё сложно по стравнению с FreeBSD.

[vg]

2SS,

ООРS. Конечно, давай на ты. Это я по инерции, как с Мармотом.
Боюсь его

[SS]

Вообще FreeBSD - просто пестня. А линукс я не знаю и не поимаю. Как-то всё сложно по стравнению с FreeBSD.

[trn]He-he. Nichego tam ne slozhno! Ta zhe pesnya, tol'ko yadrenaya. [/trn] [trn]V smysle vse te zhe fichi, tol'ko rabotayut cherez yadro, no ne obyazatel'no huzhe. Esli [/trn]Free/Net BSD [trn]pol'zuyut porty (wto trusy chto li? )[/trn] [trn], to v linukse wto moduli yadra. Odnim slovom ta zhe samaya fignya.

Ne proboval ya wtot [/trn]ipfw, [trn]no po ochen' mnogim parametram [/trn]iptables [trn]sil'no pohozh na izdelie ot[/trn]CheckPoint-[trn]a, uzh sil'no pohozh. I razumeetsya vse po vzroslomu[/trn]

[SS]

Другими словами для хттп сделано всё автоматически. Там не нужен SOCKS. Почему так делает MS? (отдельно хттп. а для всего остального или их клиент, или socks)

[trn]Vse gorazdo proshe, tak delayut vse. I wto tozhe bylo propisano v [/trn]RFC [trn](smotri tot chto opisyvaet [/trn]HTTP 1.1). [trn]Kstati, pozhaluj SAMYJ populyarnyj http proksi v i-nete [/trn]SQUID [trn]delaet to zhe samoe, topl'ko po umolchaniyu tam port 3128. Soglasno wtomu samomu [/trn]RFC, [trn]klientskaya applikuha konnektitsya k proksi na ukazannyj port, i daet obychnyj http zapros, kotoryj peredaetsya veb-sajtu bez izmeneniya.[/trn]

ПС. SOCKS - это только стандартизированный rfc способ обмена между клиентом в локальной сети и прокси-сервером.

[trn]Da, wto tak. Tol'ko soglasno [/trn]RFC, [trn]klient obyazan snachala dat' komandu [/trn]CONNECT [trn]ili [/trn]BIND[trn] dlya [/trn]UDP [trn](i v wtoj komande ukazyvaetsya adres kuda klient hochet poimet' sobstvenno konnekt). I tol'ko posle wtogo mozhno peredavat' sam zapros (v otlichie ot http-proksi, kotoryj sam vysasyvaet adres hosta iz wtogo samogo zaprosa)[/trn]