---

De mange tusinde hjemmesider ligger normalt hos mange tusinde
forskellige udbydere.

Uanset om man ligger hos en udbyder som TDC, vil man ¨normalt
kunne down- og uploade hjemmesider på tværs af netværkerne, hvis
man er i besiddelse af de korrekte adgangskoder og id'-navne.

Nu har jeg imidlertid hørt, at hvis en udbyder sætter en
firewall på, vil det ikke kunne lade sig gøre.

Med andre ord, hvis man sidder på net x og ser en hjemmeside,
der ligger på net y, og sidstnævnte så har en firewall, så vil
denne kunne mage det sådan at man fysisk skal kalde op til
udbyderen via dennes egen forbindelse for at opdatere siden. Med
andre ord skulle firewall'en kunne hindre at man kan sidde på
net x og opdatere hjemmesiden på net y.

Er det korrekt eller er der en, der kan forklare, hvor
korrekt/ukorrekt det er?

--
ahw

---

"Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk> writes:

> Uanset om man ligger hos en udbyder som TDC, vil man ¨normalt
> kunne down- og uploade hjemmesider på tværs af netværkerne, hvis
> man er i besiddelse af de korrekte adgangskoder og id'-navne.

Opdateringer foregår for det meste over FTP.

> Nu har jeg imidlertid hørt, at hvis en udbyder sætter en
> firewall på, vil det ikke kunne lade sig gøre.

Ja, man kan sagtens sætte en firewall op, så man ikke tillader
FTP-trafik til den relevante server. Man kan sikkert også få
FTP-servere, som kun tillader login fra bestemte net.

Det er i hvert fald ikke noget problem at begrænse FTP-adgang til
bestemte net (fx ISP'ens eget) i selv nogle af de simpleste
firewalls.

--
Jacob - www.bunk.cc
Dead?   No excuse for laying off work.

---

Jacob Bunk Nielsen wrote:

> "Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk> writes:
>
>> Nu har jeg imidlertid hørt, at hvis en udbyder sætter en
>> firewall på, vil det ikke kunne lade sig gøre.
>
> Ja, man kan sagtens sætte en firewall op, så man ikke tillader
> FTP-trafik til den relevante server. Man kan sikkert også få
> FTP-servere, som kun tillader login fra bestemte net.
>
> Det er i hvert fald ikke noget problem at begrænse FTP-adgang til
> bestemte net (fx ISP'ens eget) i selv nogle af de simpleste
> firewalls.

Det skal lige bemærkes at det ikke er så ofte at en firewall sættes til
at blokke ftp-client forespørgsler hvis der findes en legitim
ftp-server på det lokale netværk.
Det er sjældnt at firewalls sættes op så de genere ret meget legitimt
trafik altså trafik der ikke er forsøg på indtrengen ol.

---

DUdsen <dudsen@koen.dk> writes:

> Det skal lige bemærkes at det ikke er så ofte at en firewall sættes til
> at blokke ftp-client forespørgsler hvis der findes en legitim
> ftp-server på det lokale netværk.

Det kommer vel an på hvem man vil have til at tilgå den FTP-server.
Det er jo muligt at fx TDC kun vil have deres egne kunder til at
snakke med deres hjemmeside-FTP-server(e).

> Det er sjældnt at firewalls sættes op så de genere ret meget legitimt
> trafik altså trafik der ikke er forsøg på indtrengen ol.

Det kommer vist an på hvem du spørger. Jeg kender en hel del
kollegie-beboere der sidder bag en ret facistisk firewall på K-nettet


--
Jacob - www.bunk.cc
You need more time; and you probably always will.

---

Jacob Bunk Nielsen wrote:

> DUdsen <dudsen@koen.dk> writes:
>
>> Det skal lige bemærkes at det ikke er så ofte at en firewall sættes
>> til at blokke ftp-client forespørgsler hvis der findes en legitim
>> ftp-server på det lokale netværk.
>
> Det kommer vel an på hvem man vil have til at tilgå den FTP-server.
> Det er jo muligt at fx TDC kun vil have deres egne kunder til at
> snakke med deres hjemmeside-FTP-server(e).

Det kunne tænkes men det er så et spørgsmål om hvad TDC kalder legitimt.
Det er styadigvæk ikke eksistensen af en firewall der forhindre i at
besøge siden men eksistensen af en TDC administrator der ikke mener du
skal have adgang til den resource.

>> Det er sjældnt at firewalls sættes op så de genere ret meget legitimt
>> trafik altså trafik der ikke er forsøg på indtrengen ol.
>
> Det kommer vist an på hvem du spørger. Jeg kender en hel del
> kollegie-beboere der sidder bag en ret facistisk firewall på K-nettet
>

kolegierne er et helt andet problem her handler det om få brugere fra
tid til anden genere alle andre ved at bruge uforholdsmæsigt mange
resourcer 10mbit er ikke meget hvis en eller anden sætter en Ftp-dump
op med "wares" eller andet der bliver hentet.
Nogle vælger at løse problemet ved at blokere for Ftp-servere og
napster-kloner. Andre steder tæller man trafikken pr. bruger og smider
dem der bruger uforholdsmæst mgenge resourcer af nettet til de kan
finde ud af det. Sådan fungere der her ude ved den tidlgere grønne nu
brune jord på amager.

---

DUdsen <dudsen@koen.dk> writes:

> > Det kommer vel an på hvem man vil have til at tilgå den FTP-server.
> > Det er jo muligt at fx TDC kun vil have deres egne kunder til at
> > snakke med deres hjemmeside-FTP-server(e).
>
> Det kunne tænkes men det er så et spørgsmål om hvad TDC kalder legitimt.

.... eller hvad de i givet fald ønsker deres ressourcer brugt til, og
dermed definerer som værende legitimt.

> Det er styadigvæk ikke eksistensen af en firewall der forhindre i at
> besøge siden men eksistensen af en TDC administrator der ikke mener du
> skal have adgang til den resource.

Så er det vel også den firewall (eller den accesslist) han sætter op
der gør at man ikke kan komme til at opdatere hjemmesiden.

> > Det kommer vist an på hvem du spørger. Jeg kender en hel del
> > kollegie-beboere der sidder bag en ret facistisk firewall på K-nettet
> >
>
> kolegierne er et helt andet problem her handler det om få brugere fra
> tid til anden genere alle andre ved at bruge uforholdsmæsigt mange
> resourcer 10mbit er ikke meget hvis en eller anden sætter en Ftp-dump
> op med "wares" eller andet der bliver hentet.

Men generer firewallen så ikke dem der gerne vil køre fx FTP-servere?
Om de vil lægge warez, eller andet på er i denne sammenhæng
ligegyldigt.

Jeg sidder fx også somme tider hos et firma, hvor man ikke kan køre
SSH ud gennem deres firewall. Det vil jeg i mit tilfælde også kalde
legitim trafik.

--
Jacob - www.bunk.cc
I don't remember it, but I have it written down.

---

Jacob Bunk Nielsen wrote:

> DUdsen <dudsen@koen.dk> writes:
>
>> > Det kommer vel an på hvem man vil have til at tilgå den FTP-server.
>> > Det er jo muligt at fx TDC kun vil have deres egne kunder til at
>> > snakke med deres hjemmeside-FTP-server(e).
>>
>> Det kunne tænkes men det er så et spørgsmål om hvad TDC kalder
>> legitimt.
>
> ... eller hvad de i givet fald ønsker deres ressourcer brugt til, og
> dermed definerer som værende legitimt.
>
>> Det er styadigvæk ikke eksistensen af en firewall der forhindre i at
>> besøge siden men eksistensen af en TDC administrator der ikke mener
>> du skal have adgang til den resource.
>
> Så er det vel også den firewall (eller den accesslist) han sætter op
> der gør at man ikke kan komme til at opdatere hjemmesiden.
>
>> > Det kommer vist an på hvem du spørger. Jeg kender en hel del
>> > kollegie-beboere der sidder bag en ret facistisk firewall på
>> > K-nettet
>>
>> kolegierne er et helt andet problem her handler det om få brugere fra
>> tid til anden genere alle andre ved at bruge uforholdsmæsigt mange
>> resourcer 10mbit er ikke meget hvis en eller anden sætter en Ftp-dump
>> op med "wares" eller andet der bliver hentet.
>
> Men generer firewallen så ikke dem der gerne vil køre fx FTP-servere?
> Om de vil lægge warez, eller andet på er i denne sammenhæng
> ligegyldigt.

Jo men dem der kåre ftpservere med høj belastning genere alle andre og
det er ikke legitim trafik.
personligt ville jeg foretrække at man lukke de ftpservere der giver
problemer istedet for at lukke for alle ftpservere men det krever langt
mere af firewallen.
Da man nu lige prudeselig skal give adgang på brugerbasis istdet for
bare at sige at de og de porte er lukket.

> Jeg sidder fx også somme tider hos et firma, hvor man ikke kan køre
> SSH ud gennem deres firewall. Det vil jeg i mit tilfælde også kalde
> legitim trafik.

Det vil din administrator så ikke. Problemet er igen ikke at der står
en firewall men at en eller anden tumpet administrator har bestlyttet
sig for at lukke for ssh.

---

DUdsen <dudsen@koen.dk> writes:

> > Men generer firewallen så ikke dem der gerne vil køre fx FTP-servere?
> > Om de vil lægge warez, eller andet på er i denne sammenhæng
> > ligegyldigt.
>
> Jo men dem der kåre ftpservere med høj belastning genere alle andre og
> det er ikke legitim trafik.

OK, det er jo nok på kanten at kalde warez for legitim trafik, men den
firewallregel der forbyder FTP-trafik generer jo også dem der gerne
vil stille en FTP-server op med deres feriebilleder. Dermed generer
firewallen legitim trafik.

Jeg kan sagtens forstå hvorfor man gør som man gør, men du skal ikke
komme og sige at en firewall ikke lægger en begrænsning ind, som kan
genere nogle brugere. Alternativt kan man have en firewall der har
åbent for al trafik, men så kan man altså lige så godt spare de penge


> > Jeg sidder fx også somme tider hos et firma, hvor man ikke kan køre
> > SSH ud gennem deres firewall. Det vil jeg i mit tilfælde også kalde
> > legitim trafik.
>
> Det vil din administrator så ikke.

Hvis han vidste hvad jeg brugte det til tror jeg han ville. Jeg tror
snarere det drejer sig som at man som sådan i firmaet ikke udbredt
bruger SSH til noget. Jeg klarer mig så på anden vis.

> Problemet er igen ikke at der står en firewall men at en eller anden
> tumpet administrator har bestlyttet sig for at lukke for ssh.

Men han står jo ikke og gør det ved at kigge i alle IP-pakker selv,
men ved at sætte en firewall op, som gør det for ham.

Jeg tror bare vi skal stoppe her, da vi vist bare snakker forbi
hinanden.

--
Jacob - www.bunk.cc
Beauty, brains, availability, personality; pick any two.

---

Jacob Bunk Nielsen wrote:

> DUdsen <dudsen@koen.dk> writes:
>
>> > Men generer firewallen så ikke dem der gerne vil køre fx
>> > FTP-servere? Om de vil lægge warez, eller andet på er i denne
>> > sammenhæng ligegyldigt.
>>
>> Jo men dem der kåre ftpservere med høj belastning genere alle andre
>> og det er ikke legitim trafik.
>
> Jeg kan sagtens forstå hvorfor man gør som man gør, men du skal ikke
> komme og sige at en firewall ikke lægger en begrænsning ind, som kan
> genere nogle brugere. Alternativt kan man have en firewall der har
> åbent for al trafik, men så kan man altså lige så godt spare de penge
>

Pointen er at en Firewall som sådan ikke laver andet end at håndhæve et
sæt regler der er udformet at en administrator.
Afhængigt at administratoren kan disse regler værre meget generende
eller slet ikke genere. og alt der i mellem.