Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexandr Goncharov                   2:5020/400     09 Apr 2002  19:48:55
 To : "Kondratiev Andrey"
 Subject : Re: старый,  добрый   и  до  конца  не   изученный  (мной) ipfw
 -------------------------------------------------------------------------------- 
 
 Kondratiev Andrey <andserg@rtf.kgtu.runnet.ru> wrote:
 
 KA> Привет All!
 
 KA> Господа, а насколько будет безопасно написать такие правила:
 
 KA> ipfw add allow tcp from ${my_net} 1024-65535 to any 1024-65535 setup
 KA> ipfw add allow tcp from ${my_net} 1024-65535 to any 1024-65535 established
 
 KA> ipfw add allow tcp from any 1024-65535 to ${my_net} 1024-65535 setup
 KA> ^^^^
 KA> это наверное лишнее если нет внутри ftp серверов
 
 И это и следующее тоже.
 Зато внутри могут сидеть трояны где-нибудь на 31337 порту
 
 KA> ipfw add allow tcp from any 1024-65535 to ${my_net} 1024-65535 established
 
 Если их оставлять - тогда вся возня с setup и established бессмыслена.
 Суть setup, established, keep-state и check-state заключается в следующем:
 
 setup - разрешается устанавливать соединения (разрешены пакеты с флагом SYN)
 Имеет смысл для пакетов идущих извне к твоим портам.
 Hа верхних портах сервисы обычно не сидят, потому нефиг. Лучше c правилом
 setup явно перечислить, куда можно коннектиться - 25, 80, 53 и т.д.
 
 established - установленые соединения (пакеты с установленым флагом ACK)
 Обычно ставится в начале набора правил ipfw, для ускорения проверки.
 
 check-state и keep-state - обработка динамических правил.
 check-state - проверка. Ставится в начале набора. Можно даже до established
 
 keep-state - используется для внесения динамической записи, как правило при
 выходе из сети наружу.
 Hапример, так -
 ipfw add allow tcp from ${my_net} to any via ${oif} keep-state
  
  
 KA> -- 
 KA> Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 
 -- 
 Alexandr V. Goncharov,   | Digital Networks, Tomsktelecom
 AGV-RIPE,      | agv@tomsknet.ru 
 AGV3-RIPN      | phonе: +7(382-2)662510
 --- ifmail v.2.15dev5
  * Origin: Tomsktelecom - Digital Networks (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 старый, добрый и до конца не изученный (мной) ipfw   Kondratiev Andrey   09 Apr 2002 17:20:03 
 Re: старый, добрый и до конца не изученный (мной) ipfw   Alexandr Goncharov   09 Apr 2002 19:48:55 
 старый, добрый и до конца не изученный (мной) ipfw   Vladislav Zhuk   10 Apr 2002 12:46:20 
 Re: старый, добрый и до конца не изученный (мной) ipfw   Kondratiev Andrey   11 Apr 2002 04:21:55 
 старый, добрый и до конца не изученный (мной) ipfw   Vladislav Zhuk   11 Apr 2002 16:01:40 
Архивное /ru.unix.bsd/13909a5eadebb.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional