[Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

Владимир Гусев =?iso-8859-1?q?vova1971_=CE=C1_narod=2Eru?=
Вс Мар 27 21:33:59 MSD 2005


>> [root на vova etc]# netstat -vatwun
>> raw        0      0 0.0.0.0:1                   0.0.0.0:*
> вот он на него наверное и ругается

Наверное нужно отключить эту службу за ненадобностью...

>> >>2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до
>> >>1055 были бы BLOCKED (Stealth)>не факт, например, если нужен доступ  
>> извне к какой-нибудь службе, то
>> >зачем
>> >ее закрывать.
>>
>> Например? SSH ? Если бы у меня дома был бы статич. IP, то я прописал бы
>> правило на шлюз для моего входа извне.. а так как у меня динамич. адрес,
>> то я не знаю, стоит ли оставлять открытым SSH.
> если у вас нет возможности определить извне динамический адрес своей
> машины (у меня такая возможность есть ;) то вам это и не надо.
>
>>
>> По ходу использования такой простой настройки iptables (точнее таблицы
>> filter) выявил следующее - невозможен доступ к личным кабинетам  
>> некоторых
>> интернет-сервисов, например к личному кабинету на сайте провайдера,  
>> вход в
>> GMail через вэб-интерфейс - я так понимаю. что посылается некий  
>> сертификат
>> "доверия" сервера, который является NEW по типу пакета. Как с этим быть?
> поставить firehol :)

Хм.. хочется же понять суть... Наверное что-то с https (443).. Но как  
тогда быть? Открывать этот порт и для NEW?

> firehol.sf.net
> Он не графический, но очень удобный и понятный в конфигурировании. По,
> крайней мере, рабочую конфигурацию для firewall там можно поднять за
> несколько минут без особого знания команд iptables, просто
> воспользовавшись приложенными примерами.

Ну не знаю.. Попробую. однако даже если с его помощью будет все хорошо,  
останется чувство морального неудовлетворения... Хочется же самому дойти  
до всего:)

-- 
С уважением, Владимир Гусев



Подробная информация о списке рассылки community