[mdk-re] help understand please (Firewall)

[cornet]

Olga wrote:
> 
> On Mon, 21 Jan 2002 12:11:23 +0300
> "Баталов Григорий" <bga на kgok.murmansk.su> wrote:
> 
> > > > Вопрос как раз о простом способе сделать это фаерволлом (если таковой
> > > > действительно прост и универсален). _Можно ли таким образом закрыть
> > > > всем, кроме локальных пользователей, доступ к каким бы то ни было
> > > > сервисам, запущенным на данной машине?_
> > >
> > > Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а
> > > не анализирует пользователей на локальных или нет.
> >
> >   Наверное, localhost имелся в виду. Тогда можно.
> 
> Да. Именно это.
> Чтобы localhost можно было пользоваться сервисами, запущенными на этой
> же машине, а с какой-либо другой машины - нельзя.

Все достаточно просто - соединение, инициированное изнутри
открывает так называемые "пользовательские" порты с 1025 по 65535
и на них принимает пакеты. Это значит что DENY достаточно
поставить на вход извне только по портам с 1 по 1024 и по тем
сервисам, которые открыты выше 1024 порта. Остальное ACCEPT.
Какие именно сервисы чего где открывают легко понять по их
документации, а так же просто запустив их всех и посмотрев вывод 
netstat -l
а потом по именам сервисов узнать конкретные порты в файле
/etc/services
Ну и заткнуть их.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet на altlinux.ru