[mdk-re] help understand please (Firewall)

AVL =?iso-8859-1?q?info_=CE=C1_atmsk=2Eru?=
Пн Янв 21 17:01:44 MSK 2002 

> AVL> ipchains -A input -s localhost -j Accept
> AVL> ipchains -A input  DENY
> 
> Кажется, я неточно сформулировала вопрос.
> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
> а об изоляции всех локальных сервисов от "домогательств" извне,
> оставив их доступными исключительно для локальных пользователей.
> И в то же время, оставить локальным пользователям доступ во внешний 
> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
> могут пользоваться только лишь локальные пользователи, но доступ к
> другим серверам где-нибудь в интернете им (локальным пользователям)
> не закрыт. 

нормальное желание.
собственно, вышеприведенные строчки с учетом поправок его и реализуют.
надо уточнять или поменять политику? пожалуйста.

ipchains -F input // очищаем цепочку правил для входящих пакетов
ipchains -P input  ACCEPT // разрешаем по умолчанию прием пакетиков
ipchains -A  -s ! localhost -d <your ip> port:25 -j DENY //всех кто лезет на smtp отбивать, если только не сам
ipchains -A  -s ! localhost -d <your ip> port:110 -j DENY //всех кто лезет на pop3 отбивать, если только не сам
....
и так для всех закрываемых сервисов.
также можно в настройках сервисов сделать привязку (binding) только к localhost

в идеале nmap <your IP> должен выдавать пустоту, раз сервисов наружу не предполагается иметь.
тогда вообще никакой хацкер не пролезет и даже логи не замусорятся. :)








> 
> Можно ли вообще этого добиться каким-либо общим, универсальным способом,
> или необходима настройка по отдельности каждого запускаемого сервиса в 
> его собственных конфигах? 
> 
> 
> 
> 
> 
> 
> 
> 
> Gosha> Это он шутит так. :-)))
> AVL> я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :)
> Да в том Вы возрасте, в том - раз от темы фаерволлов и MTA быстро переходите к теме девушек :)
> 
> 
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian на altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
>

Подробная информация о списке рассылки community