<br><br><div><span class="gmail_quote">05.02.08, <b class="gmail_sendername">Глодин С.В.</b> <<a href="mailto:hlodin@komo.ua">hlodin@komo.ua</a>> написал(а):</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
вівторок, 05-лют-2008, Денис Черносов написав:<br>> 04.02.08, Anton Kvashin <<a href="mailto:foo@junior.esoo.ru">foo@junior.esoo.ru</a>> написал(а):<br>> > Денис Черносов пишет:<br>> > > В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо.<br>
> > > Потому что одно имя может иметь несколько ip или просто меняться<br>> > > гораздо реже, чем ip.<br>> ><br>> > Внести блок адресов организации/конторы/провайдера. Сделать выборку<br>> > интересующих вас, правда покрытие может быть шире.<br>
><br>> У нас есть головная компания. А у неё есть сервера, к которым мы должны<br>> без проблем подключаться. Они нам дают настройки в виде fqdn:port<br><br>А не пробовали говорить с головной компанией по поводу поднятия любого типа<br>
VPN? При этом VPN-адресация будет постоянной и не нужно будет делать подобных<br>извращений. Кстати, это нормальная, общепринятая практика в таких случаях.</blockquote><div><br>Говорить с головной компанией вообще тяжело, а по данному вопросу и бессмысленно. Потому что в большинстве других региональных офисов слова типа VPN расшифровывать просто некому. Пытались внедрить, но потом отказались от этого решения в пользу маленьких самописных программулек для интенсивного добавления информации и веб-доступа для случаев "преимущественно для чтения". Короче, "спасение утопающих..."<br>
<br><br>В принципе, на данном этапе открытие портов наружу даже для всей локальной сети и на любой хост, не приводило к каким-то серьезным эксцессам. Но всё когда-нибудь бывает впервые. Давать директору или кому-нибудь еще доступ во все стороны потому что он директор - это не совсем разумно, имхо. На компьютеры директоров трояны лезут также, как и на компьютеры остальных сотрудников. Не хочется своим каналом и деньгами спонсировать спамеров и прочих криминальных личностей.<br>
<br>Насколько я понял, выводы из дискуссии будут следующие: втыкать такие [fqdn-based] правила в iptables - извращение. Нужно заводить прокси на нужные случаи жизни и пользоваться ими. Дабы не путать слои фильтрации трафика. Так?<br>
<br>Спасибо всем, кто принял участие в обсуждении!<br><br><br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">--<br>С уважением,<br>
С.В. Глодин<br><br>_______________________________________________<br>Sysadmins mailing list<br><a href="mailto:Sysadmins@lists.altlinux.org">Sysadmins@lists.altlinux.org</a><br><a href="https://lists.altlinux.org/mailman/listinfo/sysadmins">https://lists.altlinux.org/mailman/listinfo/sysadmins</a><br>
</blockquote></div><br>