|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 08 Jul 2004 17:03:20
To : Aleksey Barabanov
Subject : Re: чудеса с маскарадингом
--------------------------------------------------------------------------------
Aleksey Barabanov <abb@wessen.ru> wrote:
AB> Eugene B. Berdnikov wrote:
AB>
>> AO> # Delete old iptables rules and temporary block all traffic
>> AO> iptables -P OUTPUT DROP
>> AO> iptables -P INPUT DROP
>> AO> iptables -P FORWARD DROP
>>
>> Лишнее.
AB> Hапротив. Это стандартная преамбула для корректной установки.
Алексей, Вы только что прочли историю "Друг Телемак" из сборника О.Генри? :))
Hет, я ничего не имею против любви к искусству, но сам не пользуюсь
никакими скриптами кроме тех, которые в /etc/init.d/, а хозяйство своё
разруливаю через вполне мнемоничные имена цепочек.
Потому и не люблю излишеств - они мешают понять главное, IMHO. :)
>> AO> iptables -A INPUT -p tcp --sport 20 -j ACCEPT
>> Зачем ftp на файрволе? Унести ftpd на другую машину, а это - в FORWARD.
AB> Опять же. Почему сразу то ? И чем ftp на файрволе менее защищен чем ftp
AB> внутри сети или напротив более ? Какая разница то ?
AB>
AB> Т.е. это уже придирки, imho.
Hет, не придирки. Ftp могут взломать, и чем менее квалифицирован админ,
тем больше вероятность, что так произойдет (с какой-нибудь древней wu-шкой).
После чего файрвол со значительно бОльшей вероятностью может потерять свои
защитные функции, чем если бы он просто рулил пакеты. Это же очевидно. :)
>> AO> iptables -A OUTPUT -m state --state NEW -o eth1 -j ACCEPT
>> Лишнее, там же policy=accept.
AB> Фильтрация на OUTPUT с собственного сервера это вообще лишнее. Все равно что
AB> от себя самого прятать спиртное. ;)
Увы, фильтрация OUTPUT - это повседневная реальность: довольно часто
приходится реагировать на проблемы с PMTU и другие источники проблем,
которые для юзеров диагностировать и разрулить может только их любимый админ
(а вовсе не админы клиентов, как показывает моя скромная практика:).
Это так, в порядке трындежа... ;)
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: чудеса с маскарадингом 