|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Pavel Asov 2:5020/400 07 Jun 2001 20:28:52
To : Andrey Sverdlichenko
Subject : Re: Re^2: настрока firewall`a
--------------------------------------------------------------------------------
Hi, Andrey Sverdlichenko
On Thu, 7 Jun 2001 13:52:16 +0000 (UTC), Andrey Sverdlichenko wrote:
> Dmitry Provodnikov <Dmitry.Provodnikov@p31.f97.n5000.z2.fidonet.org> writes:
>
> > >> посерьезнее этим заняться :). Т.е. хочется запретить *все* и
> > >> пошагово разрешить, только то, что можно.
> > A> Лучшее решение -- разрешить только исходящие соединения, в
> > A> т.ч. "соединения" по UDP.
> >
> > и трояны, ворующие инфо, будут жить хорошо и свободно.
Запрет всех исходящих UDP пакетов кроме тех, которые идут на 53 порт.
>
> Да. Hо задача закрыться от них не ставилась.
>
> > A> Правда, персональных stateful фильтров под Windows я не знаю.
> >
> > непронятно, причем тут stateful.
>
> А как stateless фильтром можно
> а) запретить только входящие UDP "соединения", т.е. пакеты, которые не
> являются ответом на локальный запрос;
А это вообще можно ?
Я например просто держу открытыми 1000-2000 порты для входящих UDP ответов
от DNS сервера и 53 для исходящих, остальные порты закрыты.
Можно еще ограничить хождение UDP по определенным IP (например пару
провайдорских DNS серверов). ICQ не юзаю поэтому проблем нет :).
> б) отбрасывать входящие TCP сегменты, которые не принадлежат ни к
> одному соединению?
--
ARP
--- ifmail v.2.15dev5
* Origin: GREENPEACE (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
