The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

firewall


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
 From : Alex Korchmar                       2:5020/28       17 Dec 98  21:22:10 
 Subj : Re: firewall                                                            
________________________________________________________________________________
Hello Denis,

On 17/Dec/98 at 10:35 you write:

 Alex> а зачем на "одиноком компьютере" вообще нужен файрволл?  Hе

 DS> Во первых для самообразования. Во вторых этот "одинокий 
 DS> компьютер" в любой момент может стать гейтом для внутренней сети. 
гейт, которому нужен _такой_ файрволл - плохой гейт.
Hа моих слюниксах, как правило, внешний линк открыт полностью или почти
полностью. Ларчик открывается просто: там просто нет и не должно быть ничего,
что стоит закрывать. (в частности - ты уверен, что тебе нужны smtp и ftp? Hа эту
диалапную машину что, чьи-то mx'ы смотрят? )

 Alex> сервисы?  А к нелишним закрыть доступ враппером.

 DS> Чем firewall хуже враппера? Каким враппером разрешить некоторые 
уже тем, что он лишняя сущность. Чем-то напоминает приваривание решетки к давно 
замурованному окну.

 DS> сервисы,
 DS> остальные запретить (в т.ч. x11, а также все остальные tcp, udp и 
это, еще раз повторяю, делается не враппером. Это делается vi /etc/inetd.conf
(ну и rc.*, до кучи). X11 на гейте быть просто не должно.
А враппер используют тогда, когда сервис _нужен_. 

 DS> icmp)?
да, особенно интересно, зачем тебе на *локальной* машине блокировать icmp ? (что
ты там блокируешь, redirect?)

 Alex> [жуть поскипана. Hафига оно тебе?]

 DS> См. выше. Полезный совет можешь дать?
я, собственно, уже его дал.

Ты сделал что-то странное и непонятно для чего. Для самопосебешной машины это
все просто бессмысленно, для gateway - недостаточно параноидально и слишком
причудливо. Если просто на поиграть - ну, поиграл... 

> Alex
P.S. кстати, ты уверен, что ничего тут не пропустил/перепутал? ;)
# Disallow setup of incoming ident
add deny tcp from any to xxx.xxx.xxx.xxx setup

BTW, чем тебе плох ident?

--- MadMED v0.38a/DPMI
 * Origin: *** Default MadMED Origin *** (2:5020/28.0)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру