The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Удалённо эксплуатируемые уязвимости во FreeBSD, opennews (??), 14-Май-20, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


124. "Удалённо эксплуатируемые уязвимости во FreeBSD"  +1 +/
Сообщение от Erley (ok), 14-Май-20, 23:39 
Пожалуй добавлю чтобы вменяемым людям польза была -

- под "дефолтными правилами" я имел ввиду /etc/rc.firewall

Если принято решение использовать ipfw, то лучше заточить свой конфиг, будет надёжнее, проще и понятнее.
Только не копируйте из гугла, там много бреда.
Прочитать ман и сделать всё как надо будет быстрее.

В *большинстве* случаев и мудрить-то не нужно - неважно pf это или ipfw.

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

149. "Удалённо эксплуатируемые уязвимости во FreeBSD"  +/
Сообщение от пох. (?), 15-Май-20, 12:39 
> - под "дефолтными правилами" я имел ввиду /etc/rc.firewall

rc.firewall имеет пять штук "дефолтных правил" - разных.
Что вам не нравится в варианте "closed", например?

65000 deny ip from any to any - отличный файрвол, простой и надежный.

Но в основном предназначен для автоматической загрузки _твоих_ правил штатным образом, чтобы следующий за тобой админ не вынужден был по всей системе раскапывать, где ты их присопливил.

Остальное сделано специально для васянов, чтобы у них был хоть какой-то фиревал и nat из коробки, пока они копипастят себе индивидуальных глупостей с серверфолт, и не предназначено быть образцом для подражания, и тем более - для ручного редактирования, оно решает свою узкоспециальную задачу.

Ответить | Правка | Наверх | Cообщить модератору

154. "Удалённо эксплуатируемые уязвимости во FreeBSD"  +/
Сообщение от crypt (ok), 15-Май-20, 13:08 
> Прочитать ман и сделать всё как надо будет быстрее.

да я довольно долго ломал голову над маном на тему проброса порта в нат или что-то такое. в мане описан проброс на свой ip, а мне надо было внутрь сети. не помню уже. но помню, что проклял FBSD документацию и отсутствие howto от пользователей. в отличие от линукса, для ната надо два правила на вход и на выход. 20 правил на нат и проброс 2х портов и какие-то skipto, как в бейсике. в общем что-то сумасшедшее.

Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

166. "Удалённо эксплуатируемые уязвимости во FreeBSD"  –1 +/
Сообщение от пох. (?), 15-Май-20, 15:39 
> какие-то skipto, как в бейсике. в общем что-то сумасшедшее.

в бейсике, хотя бы, уже 20 лет как не надо вручную номерки расставлять (и при этом не придется переписать всю ненумерованную часть, если понадобилось в ней заменить одну строку)

А тут застряли в начале 90х - когда вся хрень и была изобретена.

И divert sockets прекрасно добавляют перчику в эту кашу, как будто и без того было мало.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру