|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Ivanov 2:5020/400 06 Aug 2006 21:19:54
To : Eugene Grosbein
Subject : Re: firewall
--------------------------------------------------------------------------------
Sun Aug 06 2006 12:44, Eugene Grosbein wrote to Alex Ivanov:
EG>>> А какой смысл вообще под FreeBSD пропускать только конкретные типы
EG>>> ICMP, почему не весь ICMP целиком?
AI>> Самое простое: ну не хочу я, допусим, чтобы моя машина на лишние пинги
AI>> отвечала, по при этом чтобы отвечала destination unreachable, если есть
AI>> необходимость.
EG> Хм. А какая разница между ответом echo reply и destination unreachable
EG> с того же самого IP, на который был echo request?
Конкретный пример актуален для шлюза. Про рабочие станции ниже.
Hу пришел на шлюз пакет, который адресован в недоступную подсеть. А шлюз
молчит в ответ. IMHO это нифига не правильное поведение. Я уж не говорю про
всякие need fragment сообщения, отсутствие которых ведек к классическим глюкам
:)
Hо при этом админ шлюза может захотеть не пропускать пинги и к себе в локалку
и на шлюз, и это тоже будет правильное решение. Или допустим трасерт после
шлюза закрыть захочет...
AI>> Или закрыть свою подсеть от пингов и трасерта с наружи, но при
AI>> этом оставить возможность делать это из нутри.
EG> Hет, я спрашиваю про закрытие самой машины FreeBSD?
Классический пример для конечной рабочей станции: в домовой сети я _не_ хочу,
чтобы пинговали меня, но при этом хочу иметь возможность пинговать других (не
дергать же каждый раз фаервол). Предвижу следующий вопрос : cмысл этого? Смысл
в том, что я не хочу чтобы каждый скрипткидис имел возможность посмотреть,
включен у меня комп или нет. Только не говорите про ARP, у 99% контенгента, на
который это расчитано, не хватит ума набрать arp -a :) А для тех, у кого
хватит, есть другие простые решения...
AI>> IMHO в любом случае, если в ipfw присутствует возможность фильтровать
AI>> отдельные типы ICMP, нужно в man указать все типы, с которыми работает
AI>> фря.
EG> Я так не считаю. Firewall должен иметь возможность фильтровать любые
EG> типы (хотя бы указанием номера), а изучать TCP/IP по манам конкретной
EG> операционки - не слишком здравая идея.
Т.е все типы, кроме описанных в man ipfw не стандартные (не описаны в RFC)? Я
просто еще не успел по совету netch перелопатить RFC, только скачал пока ;-)
Кстати покажите мне хоть одного начинающего админа, который бы _начинал_
разбирался с ICMP, читая RFC? 99% изучают такие вещи поверхностно и по докам,
идущим с операционкой. Эт конечно не правильно, но это суровая
действительность :(
Кстати если уж не описывать все типы ICMP в man ipfw то IMHO хотя бы нужно
сделать ссылку, типа "помимо приведенных тут icmptypes можно применять любые
другие, описанные в /usr/include/netinet/ip_icmp.h". Hу или что-то подобное -
если человеку нужно, и он внимательно читает man - он полезет, найдет RFC,
разберется. А кому не нужно - тот и не заметит.
Или мы стремимся к идеологии Макинтошей - по максимуму скрыть рычаги внутрених
настроек операционки от юзера, типа "никто кроме саппорта их знать и не
должен" ?!
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Alex Ivanov |
06 Aug 2006 21:19:54 |
 Re: firewall |
Valentin Davydov |
07 Aug 2006 09:19:11 |
|
|
