Frozen Fido : RU.UNIX.BSD : Re: firewall

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       07 Aug 2006  10:02:02
 To : Alex Ivanov
 Subject : Re: firewall
 --------------------------------------------------------------------------------

 06 авг 2006, воскресенье, в 23:08 KRAST, Alex Ivanov написал(а):
 
  EG>> Для того, чтобы узнать, включен у тебя комп или нет, не нужен
  EG>> ни пинг, ни ARP. Ты в сети сервисы предоставляешь? Если да, то вот эти
  EG>> сервисы и сигнализируют о тебе. А если ты в сети blackhole, то тебе тем
  EG>> более нет нужды фильтровать ICMP выборочно. Все еще не вижу причины
  EG>> выборочно фильтровать отдельные типы ICMP.
  AI> Если предоставляю сервисы, то их еще знать нужно (на каком порту весит). А
  AI> просканить не всегда возможно, да и зачастую долго это, _зачем_ облегчать
  AI> жизнь излишне любопытным людям?
 
 Если любопытный не знает, где у тебя сервисы, но получает ответ на пинг -
 чем это плохо для тебя?
  
  AI> Если я в сети blackhole: повторюсь, почему я на СВОЕЙ рабочей станции
  AI> должен
  AI> быть лишен возможности послать echo request в мир и принять из него echo
  AI> reply? Hо при этом я _не_хочу_ посылать в мир echo reply, timestamp reply
  AI> и
  AI> т.д.
  AI> Причины этого смотреть выше по топику - помойму нормальное
  AI> человеческо-админское желание, вроде все понятно...
 
 Мне непонятно и выше по топику не видел причины. Объясни плиз еще раз.
 
  AI> Итого: мне и многим другим людям фильтровать icmp выборочно нужно.
 
 Зачем?
 
  AI> Если бы это было не нужно - Microsoft (не к ночи будет помянут) не
  AI> реализовала
  AI> бы эту функцию в своем фаерволе в Xp (они деньги считать умеют, и поэтому
  AI> реализовали только _самое_ нужное, криво конечно...)
 
 Это ни разу не аргумент. Если бы фильтр в XP не позволял бы управлять
 фильтрацией, был бы вообще абзац, но вопрос не в этом, а в том, зачем
 нужно фильтровать ICMP выборочно на постоянной основе?
 
  AI>>> Кстати покажите мне хоть одного начинающего админа, который бы _начинал_
  AI>>> разбирался с ICMP, читая RFC?
  EG>> Hеобязательно RFC. Есть учебники.
  AI> Согласен, по учебникам учиться правильнее - твои бы слова богу в уши...
 
  AI>>> Кстати если уж не описывать все типы ICMP в man ipfw то IMHO хотя бы
  AI>>> нужно  сделать ссылку, типа "помимо приведенных тут icmptypes можно
  AI>>> применять  любые
  AI>>> другие, описанные в /usr/include/netinet/ip_icmp.h".
  EG>> Операционная система не есть учебник по IP или ICMP.
  AI> При чем тут обучение? Речь идет о _функционале_ конкретного фаервола ipfw
  AI> на
  AI> конкретной операционке.
 
 В мане написано, что ipfw принимает числовые значения типов.
 Если на написано, что любые, это конечно нехорошо, но легко проверяется.
 
 Eugene
 -- 
 И знатную леди от Джуди О'Греди
 Hе сможет никто отличить.
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: firewall	Eugene Grosbein	07 Aug 2006 10:02:02
firewall	Andrey Ostanovsky	07 Aug 2006 22:52:38

Архивное /ru.unix.bsd/26093d1697133.html, оценка 1 из 5, голосов 10