|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 09 Jul 2004 16:03:04
To : Aleksey Barabanov
Subject : Re: чудеса с маскарадингом
--------------------------------------------------------------------------------
Aleksey Barabanov <abb@wessen.ru> wrote:
AB> Теперь еще раз.
AB>
AB> 1. Блокировка траффика в начальной стадии является нормой. Пример
AB> SuSEFirefall2.
Доктор, меня не интересуют мнения психиатров по вопросам маршрутизации.
AB> Поэтому я даже не знаю чего предположительно вы обчитались заявляя что не
AB> надо блокировать траффик в начале установки файрвола.
Hасколько я вижу, Вы сами не понимаете, почему именно надо блокировать.
Потому и ссылаетесь на "нормы", традиции, национальные технологии немецких
брандмейстеров и прочие нетехнические аргументы, интересные скорее обезьянам.
>>>> AO> iptables -A INPUT -p tcp --sport 20 -j ACCEPT
>>>> Зачем ftp на файрволе? Унести ftpd на другую машину, а это - в FORWARD.
>> AB> Опять же. Почему сразу то ? И чем ftp на файрволе менее защищен чем
>> ftp AB> внутри сети или напротив более ? Какая разница то ?
>> AB>
>> AB> Т.е. это уже придирки, imho.
>>
>> Hет, не придирки. Ftp могут взломать, и чем менее квалифицирован админ,
>> тем больше вероятность, что так произойдет (с какой-нибудь древней
>> wu-шкой).
>>
>> После чего файрвол со значительно бОльшей вероятностью может потерять
>> свои защитные функции, чем если бы он просто рулил пакеты. Это же
>> очевидно. :)
AB>
AB> Опять же прибегнем к мнению третих лиц. Вы утверждаете что файрволы
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ещё предложите голосование устроить для выбора истины. :)
AB> категорически не определяют с разрешением входящего траффика на ftp ? Вы
AB> сами сможете сделать поиск в Сети ? Так сделайте. Примеров море. Я из всего
AB> вышенаписанного увидел только что вы сильно усомнились в квалификации
AB> админов которые пользуются такими файрволами.
Вы бросаетесь спорить, не поняв сути: не ftp менее защищён на файрволе,
а файрвол более уязвим при наличии на нём ftpd.
Читайте ещё раз цитированное.
>> Увы, фильтрация OUTPUT - это повседневная реальность: довольно часто
>> приходится реагировать на проблемы с PMTU и другие источники проблем,
AB>
AB> server:~ # iptables -L FORWARD | grep PMTU
AB> TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
AB> server:~ #
AB>
AB> В вышеописанном слово FORWARD ключевое. Хотя конечно, воткнуть это можно и в
AB> OUTPUT, если это становится актуальным и для линуксового рутера.
Ключевое тут не FORWARD/OUTPUT, а то, что Вы опять не поняли, о чём речь.
А речь о ситуации, когда узкое место pmtu - HЕ локальный роутер,
и icmp теряется где-то извне, так что приведённое выше правило
ником образом помочь HЕ МОЖЕТ. Точка.
И сначала приходит жаловаться юзер, затем проводится диагностика
(локализуется маршрут, вызывающий проблемы), и лишь в последнюю
очередь подкручивается mss для этого маршрута.
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
