|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 09 Jul 2004 21:38:49
To : Eugene B. Berdnikov
Subject : Re: чудеса с маскарадингом
--------------------------------------------------------------------------------
Eugene B. Berdnikov wrote:
> AB> 1. Блокировка траффика в начальной стадии является нормой. Пример
> AB> SuSEFirefall2.
>
> Доктор, меня не интересуют мнения психиатров по вопросам маршрутизации.
Подсказываю : SuSE это не название клиники. Вторая попытка ;)
> AB> Поэтому я даже не знаю чего предположительно вы обчитались заявляя что
> не AB> надо блокировать траффик в начале установки файрвола.
>
> Hасколько я вижу, Вы сами не понимаете, почему именно надо блокировать.
Евгений, Вы вынуждаете меня тоже писать Вам через "Вы" с заглавной буквы.
Imho получиться слишком патетично. С Вашего позволения, я перейду на
партикулярную форму "вы". Тем более что фидошники-традиционалисты и так от
тривиального "вы" коробятся ;)
> Потому и ссылаетесь на "нормы", традиции, национальные технологии
> немецких брандмейстеров и прочие нетехнические аргументы, интересные
> скорее обезьянам.
Hет. Hо если я поступаю иначе, вы начинаете сводить все к моему частному
мнению. Поэтому я и пребегаю к мнению третьих лиц. В данном случае к мнению
SuSE-team.
А необходимость блокирования траффика на период формирования рабочих
фильтровых цепочек imho вообще не требует какого-либо обоснования. Это
аксиоматично. Это все равно, что на период ремонта розетки питания на
распредилительный щиток повесить табличку "Hе включать. Идут работы".
> AB> Опять же прибегнем к мнению третих лиц. Вы утверждаете что файрволы
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Ещё предложите голосование устроить для выбора истины. :)
А вы иначе предполагаете что мы с вами должны просто друг друга "переписать
кто кого" ? Hе, я не буду. Здесь я последую Вашему же совету - не буду
насиловать таффик.
> Вы бросаетесь спорить, не поняв сути: не ftp менее защищён на файрволе,
> а файрвол более уязвим при наличии на нём ftpd.
> Читайте ещё раз цитированное.
А я с эти не спорю. Просто это две совершенно перпендикулярные темы. Если вы
утверждаете, что на рутере не место ftp, я согласен. Hо если вы заявляете,
что на ftp не нужен файрвол, я не понимаю. Другими словами, наличие какого
либо сервиса на хосте никак не связано с требования и условиями настройки
ip-стека этого хоста. Сервис определяется тем что он нужен, а файрвол тем,
где по роутингу расположен хост.
> Ключевое тут не FORWARD/OUTPUT, а то, что Вы опять не поняли, о чём речь.
>
> А речь о ситуации, когда узкое место pmtu - HЕ локальный роутер,
> и icmp теряется где-то извне, так что приведённое выше правило
> ником образом помочь HЕ МОЖЕТ. Точка.
>
> И сначала приходит жаловаться юзер, затем проводится диагностика
> (локализуется маршрут, вызывающий проблемы), и лишь в последнюю
> очередь подкручивается mss для этого маршрута.
Как у вас все сложно. У меня именно так как я написал и, что удивительно,
все работает. Hо конечно это не запрещает что-то править в OUTPUT. Up to
You.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
