Главная страница


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alex Ivanov                          2:5020/400     06 Aug 2006  21:19:54
 To : Eugene Grosbein
 Subject : Re: firewall
 -------------------------------------------------------------------------------- 
 
 Sun Aug 06 2006 12:44, Eugene Grosbein wrote to Alex Ivanov:
 
  EG>>> А какой смысл вообще под FreeBSD пропускать только конкретные типы
  EG>>> ICMP,  почему не весь ICMP целиком?
  AI>> Самое простое: ну не хочу я, допусим, чтобы моя машина на лишние пинги
  AI>> отвечала, по при этом чтобы отвечала destination unreachable, если есть
  AI>> необходимость.
  EG> Хм. А какая разница между ответом echo reply и destination unreachable
  EG> с того же самого IP, на который был echo request?
 
 Конкретный пример актуален для шлюза. Про рабочие станции ниже.
 Hу пришел на шлюз пакет, который адресован в недоступную подсеть. А шлюз
 молчит в ответ. IMHO это нифига не правильное поведение. Я уж не говорю про
 всякие need fragment сообщения, отсутствие которых ведек к классическим глюкам
 :)
 Hо при этом админ шлюза может захотеть не пропускать пинги и к себе в локалку
 и на шлюз, и это тоже будет правильное решение. Или допустим трасерт после
 шлюза закрыть захочет...
 
  AI>> Или закрыть свою подсеть от пингов и трасерта с наружи, но при
  AI>> этом оставить возможность делать это из нутри.
  EG> Hет, я спрашиваю про закрытие самой машины FreeBSD?
 
 Классический пример для конечной рабочей станции: в домовой сети я _не_ хочу,
 чтобы пинговали меня, но при этом хочу иметь возможность пинговать других (не
 дергать же каждый раз фаервол). Предвижу следующий вопрос : cмысл этого? Смысл
 в том, что я не хочу чтобы каждый скрипткидис имел возможность посмотреть,
 включен у меня комп или нет. Только не говорите про ARP, у 99% контенгента, на
 который это расчитано, не хватит ума набрать arp -a :) А для тех, у кого
 хватит, есть другие простые решения...
 
  AI>> IMHO в любом случае, если в ipfw присутствует возможность фильтровать
  AI>> отдельные типы ICMP, нужно в man указать все типы, с которыми работает
  AI>> фря.
  EG> Я так не считаю. Firewall должен иметь возможность фильтровать любые
  EG> типы (хотя бы указанием номера), а изучать TCP/IP по манам конкретной
  EG> операционки - не слишком здравая идея.
 
 Т.е все типы, кроме описанных в man ipfw не стандартные (не описаны в RFC)? Я
 просто еще не успел по совету netch перелопатить RFC, только скачал пока ;-)
 
 Кстати покажите мне хоть одного начинающего админа, который бы _начинал_
 разбирался с ICMP, читая RFC? 99% изучают такие вещи поверхностно и по докам,
 идущим с операционкой. Эт конечно не правильно, но это суровая
 действительность :(
 
 Кстати если уж не описывать все типы ICMP в man ipfw то IMHO хотя бы нужно
 сделать ссылку, типа "помимо приведенных тут icmptypes можно применять любые
 другие, описанные в /usr/include/netinet/ip_icmp.h". Hу или что-то подобное -
 если человеку нужно, и он внимательно читает man - он полезет, найдет RFC,
 разберется. А кому не нужно - тот и не заметит.
 
 Или мы стремимся к идеологии Макинтошей - по максимуму скрыть рычаги внутрених
 настроек операционки от юзера, типа "никто кроме саппорта их знать и не
 должен" ?!
 
 --- ifmail v.2.15dev5.3
  * Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: firewall   Alex Ivanov   06 Aug 2006 21:19:54 
 Re: firewall   Valentin Davydov   07 Aug 2006 09:19:11 
Архивное /ru.unix.bsd/1667955cfcb31.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional