_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
From : Alex Korchmar 2:5020/28 17 Dec 98 21:22:10
Subj : Re: firewall
________________________________________________________________________________
Hello Denis,
On 17/Dec/98 at 10:35 you write:
Alex> а зачем на "одиноком компьютере" вообще нужен файрволл? Hе
DS> Во первых для самообразования. Во вторых этот "одинокий
DS> компьютер" в любой момент может стать гейтом для внутренней сети.
гейт, которому нужен _такой_ файрволл - плохой гейт.
Hа моих слюниксах, как правило, внешний линк открыт полностью или почти
полностью. Ларчик открывается просто: там просто нет и не должно быть ничего,
что стоит закрывать. (в частности - ты уверен, что тебе нужны smtp и ftp? Hа эту
диалапную машину что, чьи-то mx'ы смотрят? )
Alex> сервисы? А к нелишним закрыть доступ враппером.
DS> Чем firewall хуже враппера? Каким враппером разрешить некоторые
уже тем, что он лишняя сущность. Чем-то напоминает приваривание решетки к давно
замурованному окну.
DS> сервисы,
DS> остальные запретить (в т.ч. x11, а также все остальные tcp, udp и
это, еще раз повторяю, делается не враппером. Это делается vi /etc/inetd.conf
(ну и rc.*, до кучи). X11 на гейте быть просто не должно.
А враппер используют тогда, когда сервис _нужен_.
DS> icmp)?
да, особенно интересно, зачем тебе на *локальной* машине блокировать icmp ? (что
ты там блокируешь, redirect?)
Alex> [жуть поскипана. Hафига оно тебе?]
DS> См. выше. Полезный совет можешь дать?
я, собственно, уже его дал.
Ты сделал что-то странное и непонятно для чего. Для самопосебешной машины это
все просто бессмысленно, для gateway - недостаточно параноидально и слишком
причудливо. Если просто на поиграть - ну, поиграл...
> Alex
P.S. кстати, ты уверен, что ничего тут не пропустил/перепутал? ;)
# Disallow setup of incoming ident
add deny tcp from any to xxx.xxx.xxx.xxx setup
BTW, чем тебе плох ident?
--- MadMED v0.38a/DPMI * Origin: *** Default MadMED Origin *** (2:5020/28.0)
