|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Semenyaka 2:461/640 19 Dec 2000 14:07:22
To : Eugene Grosbein
Subject : ipfw problem
--------------------------------------------------------------------------------
19 Dec 00 11:15, ты писал к iluxa kravchenko:
>>>> #allow access to FTP
>>>> ${fwcmd} add pass tcp from any to ${oip} 21 setup
>>>> ${fwcmd} add pass tcp from ${oip} 21 to any setup
>>>> ${fwcmd} add pass tcp from any to ${oip} 20 setup
>>>> ${fwcmd} add pass tcp from ${oip} 20 to any setup
>>>> ----------------------------------
>> EG> Ты разрешил только первый пакет, который устанавливает
>> EG> соединение. Убери setup.
>> а не лучше ли добавить правило с "allow tcp ... established"?
EG> А чем 2 правила лучше одного?
Hу пока поиск по правилам идет последовательно - имеет смысл аггрегировать их
таким образом, чтобы под одно правило попадало как можно больше и пихать такое
правило как можно выше (ну, без фанатизма, конечно). Тогда каждый отдельный
пакетик будет проходить в среднем путь на свою индивидуальную Голгофу быстрее.
Пример из любого FAQ, где есть слово "firewall" - как раз заведение правила с
established, которое отберет на себя все established TCP для всех сервисов, а
самим сервисам поразрешать уже только оставиеся setupы. Справедливости ради, что
иногда этого как раз советуют и не делать для пущей секурности :)
SY, Alex
--- IMHO в последней инстанции
* Origin: ...можжевеловых... (2:461/640)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
