[mdk-re] Spring2001- Проблема с Internet
Vyt
=?iso-8859-1?q?vyt_=CE=C1_vzljot=2Eru?=
Пн Апр 9 12:31:35 MSD 2001
On Mon, 9 Apr 2001 11:55:10 +0400
Serge Skorokhodov <suralis на mailru.com> wrote:
<skipped>
> V> так что, если они не нужны, лучше не удалять, а не
> V> запускать совсем. Какие правила в Spring по умолчанию -
> V> не знаю, он еще не доехал :) Советую почитать
> V> Ipchains-HOWTO:
>
> V> http://www.mgul.ac.ru/~t-alex/Linux/IPCHAINS-HOWTO/index.htm
>
> По поводу многих HOWTO, которые есть в дистрибутиве
> (документация в целом стала беднее, чем в семерке, хотя и
> обновлена:(, то они к сильно особенной в смысле безопасности
> "весне" не слишком подходят, так мне показалось. Хотя, это
Почему "весне"? Spring - это же прыжок, рывок, прорыв...
> и поверхностное мнение.
>
> V> Для себя я делал политику "что не разрешено - запрещено":
> V> ipchains -P input DENY
> V> ipchains -P output DENY
> V> Потом добавляются правила для работы: icmp, dns, www, smtp, pop3,
imap,
> V> ntp, ftp, и т.д.
>
> Сразу вопрос: может реально понадобится система, где все это
Нет, конечно. Без icmp вообще траффика нормального не будет. Лучше
разрешать только то, в чем уверены, тогда будет сложнее настраивать, но и
сложнее ломать (напортачить).
> запрещено? По крайней мере какова доля таких систем в
> реальной жизни?
>
> V> Если не известны порты/протоколы - можно поставить в начале цепочки
> V> правило -l -j DENY(ACCEPT) и посмотреть их в логе.
>
> Спасибо за ответы, теперь будет легче. К сожалению, в
> "Весне-2001" столь много и сразу поменялось, что только
> начинающиму что-то "рубить" в семерке несколько неуютно.
> Между прочим, под виндами перепробовал кучу файерволлов, все
> так или иначе работают и защищают:) Но во всех настройки
??? Можно названия тех, что нормально работают? У меня от AtGuard'а такое
впечатление...
> МНОГО понятнее и автоматизированней:( Это так, бурчание.
Чем понятнее? Главное - знать, как работает, синтаксис - дело наживное. К
тому же AtGuard'у - мне, например, непонятно, почему он некоторые правила
не отрабатывает. А автоматизация - это, скорее, недостаток.
<skipped>
--
Regards, Vyt
mailto:vyt на vzljot.ru
Подробная информация о списке рассылки community