[mdk-re] help understand please (Firewall)

Vyt =?iso-8859-1?q?vyt_=CE=C1_vzljot=2Eru?=
Пн Янв 21 11:50:14 MSK 2002


On Mon, 21 Jan 2002 15:44:18 +0700
Olga <laedel на pochtamt.ru> wrote:

<skipped>

> Вопрос как раз о простом способе сделать это фаерволлом (если таковой
> действительно прост и универсален). _Можно ли таким образом закрыть
> всем, кроме локальных пользователей, доступ к каким бы то ни было
> сервисам, запущенным на данной машине?_

Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а
не анализирует пользователей на локальных или нет. Помимо просто
закрывания портов можно еще запретить пакеты с флагом SYN (точно
не помню, в IPCHAINS-HOWTO описан), то есть запретить
инициализировать соединения на сервер, используется, например, на
прокси на внешнем интерфейсе.

<skipped>

> Кажется, я неточно сформулировала вопрос.
> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
> а об изоляции всех локальных сервисов от "домогательств" извне,
> оставив их доступными исключительно для локальных пользователей.
> И в то же время, оставить локальным пользователям доступ во внешний 
> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
> могут пользоваться только лишь локальные пользователи, но доступ к
> другим серверам где-нибудь в интернете им (локальным пользователям)
> не закрыт. 
> 
> Можно ли вообще этого добиться каким-либо общим, универсальным способом,
> или необходима настройка по отдельности каждого запускаемого сервиса в 
> его собственных конфигах? 

Универсальным - нельзя, нужно настраивать каждый сервис.
Firewall'ом можно позакрывать все порты извне, кроме клиентских
и, например, DNS и SMTP. Кстати, уточните - нужно открыть доступ
только своим пользователям или только локальным адресам?

<skipped>

-- 
Regards, Vyt
mailto:  vyt на vzljot.ru
JID:     vyt на vzljot.ru
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20020121/6a0280b6/attachment-0008.bin>


Подробная информация о списке рассылки community