Frozen Fido : RU.UNIX.BSD : Re: firewall

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       07 Aug 2006  01:16:34
 To : Alex Ivanov
 Subject : Re: firewall
 --------------------------------------------------------------------------------

 06 авг 2006, воскресенье, в 20:19 KRAST, Alex Ivanov написал(а):
 
  EG>> Hет, я спрашиваю про закрытие самой машины FreeBSD?
  AI> Классический пример для конечной рабочей станции: в домовой сети я _не_
  AI> хочу,
  AI> чтобы пинговали меня, но при этом хочу иметь возможность пинговать других
  AI> (не
  AI> дергать же каждый раз фаервол). Предвижу следующий вопрос : cмысл этого?
  AI> Смысл
  AI> в том, что я не хочу чтобы каждый скрипткидис имел возможность посмотреть,
  AI> включен у меня комп или нет. Только не говорите про ARP, у 99%
  AI> контенгента, на
  AI> который это расчитано, не хватит ума набрать arp -a :)
 
 Для того, чтобы узнать, включен у тебя комп или нет, не нужен
 ни пинг, ни ARP. Ты в сети сервисы предоставляешь? Если да, то вот эти
 сервисы и сигнализируют о тебе. А если ты в сети blackhole, то тебе тем
 более нет нужды фильтровать ICMP выборочно. Все еще не вижу причины
 выборочно фильтровать отдельные типы ICMP.
 
  AI> Кстати покажите мне хоть одного начинающего админа, который бы _начинал_
  AI> разбирался с ICMP, читая RFC?
 
 Hеобязательно RFC. Есть учебники.
 
  AI> 99% изучают такие вещи поверхностно и по докам,
  AI> идущим с операционкой. Эт конечно не правильно, но это суровая
  AI> действительность :(
 
 Какой смысл апеллировать к этой якобы реальности - закрепять?
 
  AI> Кстати если уж не описывать все типы ICMP в man ipfw то IMHO хотя бы нужно
  AI> сделать ссылку, типа "помимо приведенных тут icmptypes можно применять
  AI> любые
  AI> другие, описанные в /usr/include/netinet/ip_icmp.h".
 
 Операционная система не есть учебник по IP или ICMP.
 
  AI> Или мы стремимся к идеологии Макинтошей - по максимуму скрыть рычаги
  AI> внутрених
  AI> настроек операционки от юзера, типа "никто кроме саппорта их знать и не
  AI> должен" ?!
 
 Одно дело - настройки операционной системы и совсем другое -
 общее понимание строения стека TCP/IP. man ipfw не место для изложения
 этого.
 
 Eugene
 -- 
 Three things are certain:
 Death, taxes and lost data.
 Guess which has occurred.
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: firewall	Eugene Grosbein	07 Aug 2006 01:16:34

Архивное /ru.unix.bsd/26093c5f5b8ee.html, оценка 1 из 5, голосов 10