[mdk-re] help understand please (Firewall)

Olga =?iso-8859-1?q?laedel_=CE=C1_pochtamt=2Eru?=
Пн Янв 21 11:41:01 MSK 2002 

Olga> Извините, если задаю глупый вопрос, но нельзя ли подобную
Olga> проблему "вырвать с корнем" соответствующими настройками в
Olga> /etc/hosts.allow и /etc/hosts.deny
 
cornet> Не совсем так. Эти директивы влияют на xinetd а значит и на
cornet> работу pop3 но не более того.
cornet> smtp от них не зависит, это настраивается непосредственно в
cornet> конфигах postfix.

cornet> Му собственно в postfix по умолчанию так и есть, в minetworks
cornet> стоит 127.0.0.1/32 тоесть отправлять через него почту могут
cornet> только локальные юзеры.
cornet> Во многих случаях, когда сервисы работают не через xinetd
cornet> необходимо именно в их собственных конфигах прописывать кого куда
cornet> пускать. Можено решить эту задачу проще и радикальнее - прибить
cornet> все это фаерволлом, в правилах которого прописать хосты, порты и
cornet> кому куда можно. 

Вопрос как раз о простом способе сделать это фаерволлом (если таковой
действительно прост и универсален). _Можно ли таким образом закрыть
всем, кроме локальных пользователей, доступ к каким бы то ни было
сервисам, запущенным на данной машине?_

 
Olga> Вот это как раз и хотелось бы узнать. Решит ли проблему настройка
Olga> такая, что никого, кроме localhost, не пускать ни на какой порт?
Olga> И если это так и делается просто, то может быть кто-нибудь будет
Olga> любезен рассказать, как это сделать.
AVL> ipchains -A input -s localhost -j Accept
AVL> ipchains -A input  DENY

Кажется, я неточно сформулировала вопрос.
Речь идет не о полной изоляции (извне не пущать ни единого пакета),
а об изоляции всех локальных сервисов от "домогательств" извне,
оставив их доступными исключительно для локальных пользователей.
И в то же время, оставить локальным пользователям доступ во внешний 
мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
могут пользоваться только лишь локальные пользователи, но доступ к
другим серверам где-нибудь в интернете им (локальным пользователям)
не закрыт. 

Можно ли вообще этого добиться каким-либо общим, универсальным способом,
или необходима настройка по отдельности каждого запускаемого сервиса в 
его собственных конфигах? 








Gosha> Это он шутит так. :-)))
AVL> я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :)
Да в том Вы возрасте, в том - раз от темы фаерволлов и MTA быстро переходите к теме девушек :)

Подробная информация о списке рассылки community