Порт 843 для файлаў палітык сокетаў - як часта зачыненыя парты карыстальнікаў?

Я працую над гульнёй Flash/Facebook. Мой SWF і сокет-сервер знаходзяцца на розных даменах, так што я павінен выкарыстоўваць файл палітык для сокетаў. Па словах Adobe, яны «падалі з IANA, Інтэрнэт Assigned Numbers Authority, каб зарэзерваваць порт 843 для мэт абслугоўвання файлаў палітыкі сокетаў.» (1) На жаль, мой сервер мае порт 843 зачынены. Я спытаў майго хлопца сервера, каб адкрыць порт. Вось яго адказ:

<Р> Адна з кропак Matt згаданых нават калі мы адкрыем гэты канкрэтны порт, як бы вы забяспечваеце мноства людзей, якія маюць доступ у гэтую гульню з сваіх школ, бібліятэк ці нават людзей, унутраных да Ourcompany будзе мець падключэнне да порта. Патлумачу, для таго, каб трафік цячы па порце 843 з браўзэра на смарт-сервер ліс, карыстальнікі ISP таксама павінен улічваць, што трафік для перадачы выходнага ад карыстальнікаў браўзэра. Цалкам магчыма, што некаторыя карыстальнікі не змогуць запусціць яго, што рызыка прымальны?

Як часта гэта для інтэрнэт-правайдэраў блакаваць порт 843? Я выказаў меркаванне, што, паколькі гэта стандарт Adobe, што інтэрнэт-правайдэры цяпер будзе адкрыць яго па змаўчанні. Што савок?

1

2 адказы

Інтэрнэт-правайдэры могуць рабіць усё, што, чорт вазьмі, яны хочуць, незалежна ад IANA. Ёсць тоны партоў, зарэгістраваных з IANA, але пераважная большасць з іх заблакаваныя на ўязным, калі што правайдэр не працуе гэтыя паслугі. Гэта кропка брандмаўэраў, каб блакаваць падлучэння да партоў не працуюць паслугі.

Такім чынам, вы павінны ўзяць на сябе людзі будуць атрымліваць доступ прыкладання праз вэб-браўзэр на сеткі, якія сядзяць за брандмаўэрамі. Адміністратары гэтых брандмаўэры могуць блакаваць ўвесь выходны трафік, за выключэннем на працягу некалькіх партоў, як 22 (SSH), 25 (SMTP), 80 (HTTP), 110 (POP3), 143 (IMAP), 443 (HTTPS) і г.д. Як правіла, трафік адпраўлена выходнае не абмяжоўваецца толькі гэтымі партамі, таму што гэта абмежаванне выклікае шмат галаўнога болю для адміністратараў брандмаўэра, так як гэта можа перашкаджаць людзям рабіць сваю працу. Гэта проста лягчэй дазволіць трафік па-за. І ёсць невялікі рызыку гэтага аказвае ўплыў на сеткавую бяспеку. Хутчэй за гэтыя парты і многія іншыя парты заблакаваныя для ўваходнага трафіку.

Як правіла, большасць карыстальнікаў, якія ў карпаратыўнай сеткі або кіраванай сеткі маюць доступ да кампутараў, якія сядзяць за брандмаўарам і могуць зрабіць выходныя злучэнні, але нічога за межамі брандмаўэра не можа падлучыцца да іх. Вось, як правіла, называецца сегментацыю сеткі, у якой кампутары, якія выкарыстоўваюцца яго супрацоўнікамі сядзяць у больш абмежаванай вобласці, а сервера карпусоў жывуць у DMZ, які сапраўды ёсць які ўваходзіць доступ да абмежаванага ліку партоў. Ваш сервер вы падлучаецеся да найбольш верагодных жыццяў у ДМЗ, і менавіта таму вы павінны былі папрасіць порт 843 павінен быць адкрыты. І ваш адміністратар проста кажучы, калі хтосьці працуе гульня мае выходны трафік абмежаваны, яны не будуць у стане выкарыстаць сваю гульню, таму што іх брандмаўэр можа блакаваць 843 выходнага доступу.

У ніжняй радку? Тыя людзі, якія сядзяць за брандмаўэрамі, якія не могуць атрымаць доступ да порта 843 будзе не ў стане запусціць гульню. Як правіла, гэта карпаратыўныя або ўрадавыя арганізацыі, якія маюць жорсткі кантроль над тым, што вы можаце і не можаце рабіць з машынамі кампаніі. Колькі з іх існуюць? Гэта ў меншасці, але ў асноўным гэта проста азначае, што яны не павінны гуляць у гульні на час кампаніі, так што гэта, верагодна, не мае вялікага значэння, што яны не могуць атрымаць да яго доступ. Вы можаце проста код для магчымасці і сказаць ім, «Вы не маеце доступу да X, і гэтая гульня патрабуе, балбатня балбатня.» Калі вы сапраўды хочаце ведаць, наколькі распаўсюджана гэта можна запісаць яго, даслаўшы запыт назад на сервер, каб вымераць яго. Ці вы маглі б знайсці спосаб, каб змясціць ваш SWF ў тым жа дамене, што і сервер, які будзе адмаўляць неабходнасць 843.

1
дададзена

chubbard is correct regarding inbound and outbound traffic through firewalls.

Аднак, гэта не правільна, што вы можаце звесці на няма неабходнасць палітыкі сокетаў, служачы файл флэш з таго ж дамена, што і мэты гнязда. Пры адкрыцці сокетаў ад кліента ўспышкі, палітыка Adobe сокетаў з'яўляецца абавязковым, нават калі файл флэш з таго ж дамена, які вы хочаце адкрыць сокет.

If you need an example of a socket policy server, with working configuration files, I've written one that might be helpful: http://socketpolicyserver.com

1
дададзена