ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Valentin Davydov                     2:5020/400     07 Aug 2006  18:43:48
 To : Eugene Grosbein
 Subject : Re: firewall
 -------------------------------------------------------------------------------- 
 

 >   From: Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org>
 >   Date: Mon, 07 Aug 2006 18:17:48 +0400
 >
 > VD> Hеясно, объясняй. Единственная причина, которая приходит мне в голову -
 > VD> грамотно настроить софт в сетке сложнее, чем на одной тачке.
 > >>IMHO все-таки правильнее и проще сделать ipfw deny all from any to any и
 > >>открыть только то, что нужно.
 > >>Потому, что в другом случае придется делать:
 > >>1. Сперва по sockstat найти все открытые не туда порты.
 > >>2. Пройтись по всем демонам, держащими открытые порты не туда, выяснить как
 > >>перевесить их на нужный ip, и/или указать им, какие подсети правильные, а
 > >>какие нет...
 > VD> А это в любом случае придётся делать (равно как и множество других вещей,
 > VD> начиная от выяснения банальных user credentials демона и к каким частям
 > VD> каких файловых систем он имеет доступ).
 > >>Я хочу напомнить, что большенство демонов при настройки по
 > >>умолчанию слушают на * (взять тот же syslog),
 > VD> Уел. Syslogd - классический пример необходимости firewallа вида
 > VD> 10 allow all from any to any via ${loopback_iface}
 > VD> 20 drop all from ${loopback_address} to any
 >
 >Уже пять лет (с 4.4-RELEASE) эти правила не более чем архитектурное
 >излишество, потому что ip_input.c в соостветствии с RFC 1122 безусловно
 >гробит пакеты с loopback_address, за исключением пришедших через
 >loopback_iface.
 
 В таком случае syslogd (запускаемый по умолчанию с ключом -s) делает именно
 то, о чём я упоминал раньше: поступает с приходящими ему пакетами так, как
 надобно.
 
 Вал. Дав.
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор