[mdk-re] help understand please (Firewall)

Пн Янв 21 19:52:43 MSK 2002

Hello Olga,

Monday, January 21, 2002, 11:44:18 AM, you wrote:

O> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
O> а об изоляции всех локальных сервисов от "домогательств" извне,
O> оставив их доступными исключительно для локальных пользователей.
O> И в то же время, оставить локальным пользователям доступ во внешний 
O> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
O> могут пользоваться только лишь локальные пользователи, но доступ к
O> другим серверам где-нибудь в интернете им (локальным пользователям)
O> не закрыт. 

O> Можно ли вообще этого добиться каким-либо общим, универсальным способом,

Нет, нельзя, и прежде всего из-за существования и популярности
stateless-протоколов, таких, как http. Пока файрволл не стал очень
(слишком?) умным, для него (1) обращение клиента к http-серверу и (2)
ответ последнего -- два не связанных друг с другом события, и
(2) выглядит именно что "домогательством извне". Которое, тем не
менее, нужно удовлетворить.

-- 
-- Maksim