|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 07 Aug 2006 18:17:48
To : Valentin Davydov
Subject : Re: firewall
--------------------------------------------------------------------------------
07 авг 2006, понедельник, в 12:52 KRAST, Valentin Davydov написал(а):
VD> Hеясно, объясняй. Единственная причина, которая приходит мне в голову -
VD> грамотно настроить софт в сетке сложнее, чем на одной тачке.
>>IMHO все-таки правильнее и проще сделать ipfw deny all from any to any и
>>открыть только то, что нужно.
>>Потому, что в другом случае придется делать:
>>1. Сперва по sockstat найти все открытые не туда порты.
>>2. Пройтись по всем демонам, держащими открытые порты не туда, выяснить как
>>перевесить их на нужный ip, и/или указать им, какие подсети правильные, а
>>какие нет...
VD> А это в любом случае придётся делать (равно как и множество других вещей,
VD> начиная от выяснения банальных user credentials демона и к каким частям
VD> каких файловых систем он имеет доступ).
>>Я хочу напомнить, что большенство демонов при настройки по
>>умолчанию слушают на * (взять тот же syslog),
VD> Уел. Syslogd - классический пример необходимости firewallа вида
VD> 10 allow all from any to any via ${loopback_iface}
VD> 20 drop all from ${loopback_address} to any
Уже пять лет (с 4.4-RELEASE) эти правила не более чем архитектурное
излишество, потому что ip_input.c в соостветствии с RFC 1122 безусловно
гробит пакеты с loopback_address, за исключением пришедших через
loopback_iface.
Eugene
--
http://www.livejournal.com/users/dadv/
--- slrn/0.9.8.0 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Eugene Grosbein |
07 Aug 2006 18:17:48 |
|
|
