=?iso-8859-1?q?=5Bmdk-re=5D_Spring2001-_=F0=D2=CF=C2=CC=C5=CD=C1_=D3_Inte?= =?iso-8859-1?q?rnet?=

[Serge Skorokhodov]

Здравствуйте!

Vyt пишет по-поводу [mdk-re] Spring2001- Проблема с Internet

>> Вопрос был не мой, но как с ними не экспериментировать,
>> если после каждой перезагрузки весь доступ вовне и из вне
>> напрочь отрубается. А с чейнами пока не рублю:( Вот и
>> приходиться для выхода в И-нет удалять все правила (что
>> не есть верно:( и, о чудо, все работает. До следующей
>> перезагрузки:(

V> Что действительно не верно. Настройки сохраняются с помощью
V> /etc/rc.d/init.d/ipchains save
V> останавливаются - stop

V> так что, если они не нужны, лучше не удалять, а не
V> запускать совсем. Какие правила в Spring по умолчанию -
V> не знаю, он еще не доехал :) Советую почитать
V> Ipchains-HOWTO:

V> http://www.mgul.ac.ru/~t-alex/Linux/IPCHAINS-HOWTO/index.htm

По поводу многих HOWTO, которые есть в дистрибутиве
(документация в целом стала беднее, чем в семерке, хотя и
обновлена:(, то они к сильно особенной в смысле безопасности
"весне" не слишком подходят, так мне показалось. Хотя, это
и поверхностное мнение.

V> Для себя я делал политику "что не разрешено - запрещено":
V> ipchains -P input DENY
V> ipchains -P output DENY
V> Потом добавляются правила для работы: icmp, dns, www, smtp, pop3, imap,
V> ntp, ftp, и т.д.

Сразу вопрос: может реально понадобится система, где все это
запрещено? По крайней мере какова доля таких систем в
реальной жизни?

V> Если не известны порты/протоколы - можно поставить в начале цепочки
V> правило -l -j DENY(ACCEPT) и посмотреть их в логе.

Спасибо за ответы, теперь будет легче. К сожалению, в
"Весне-2001" столь много и сразу поменялось, что только
начинающиму что-то "рубить" в семерке несколько неуютно.
Между прочим, под виндами перепробовал кучу файерволлов, все
так или иначе работают и защищают:) Но во всех настройки
МНОГО понятнее и автоматизированней:( Это так, бурчание.

Сергей Скороходов 09.04.2001 suralis на mailru.com