ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Andrew Filonov                       2:5020/400     29 Mar 2006  14:16:15
 To : Valentin Nechayev
 Subject : Re: hifn: Ошибка при сборке ядра
 -------------------------------------------------------------------------------- 
 

 >>>>> "VN" == Valentin Nechayev writes:
 
  AF> Это как раз малокритично - для постоянной работы правила можно и
  AF> перекрыть.
  VN> Хм. Если подойти предельно конструктивно к вопросу, получаем
  VN> следующие варианты:
 
  VN> I. Вариант стартовых правил файрволла: кроме двух известных
  VN> "allow ip from any to any" и "deny ip from any to any" создать
  VN> несколько других вариантов. В частности, почти по твоему
  VN> варианту:
  VN> 65533 allow tcp from any to me 22 65534 allow tcp from me 22 to
  VN> any 65535 deny ip from any to any
  VN> (Почему я не хочу тут выпускать наружу на 22 - потому что админ
  VN> зайдя на машину может сделать это сам.)
  VN> Соответственно у ipfw появляется переключатель типа
  VN> net.inet.ip.fw.basetype=[allow|deny|sshonly]
 
  Мне тут подумалась мысля - а не задавать ли правила просто в конфиге
  ядра? Это было бы более гибким методом задания дефолта.
  
  VN> Hа самом деле слабое место всех этих подходов - отсутствие
  VN> транзакционности изменений. Если бы ipfw позволял поменять
  VN> правила одним махом - вот предыдущий пакет шёл ещё по старым, а
  VN> вот следующий по новым, и если новые не стали то полностью
  VN> сохраняются старые - то все эти заморочки имели бы глубокий
  VN> смысл. 
 
   ipfw set есть уже давно.
 
  VN> Пока же получается так, что например в случае sshonly по типу 1 -
  VN> тебе поставят например правилом 64000 'deny ip from any to any',
  VN> а затем начнут набивать разрешёнными хостами таблицу разрешений -
  VN> и тут обломятся. И ты даже при basetype=sshonly получишь
  VN> неуправляемую машину.
 
  Hе получу. Ибо я сначала набью таблицу  а уже потом буду делать deny
  Hаличие мозгов у админа никто не отменял.
 -- 
 Andrew E. Filonov
 If a situation requires undivided attention, it will
 occur simultaneously with a compelling distraction.
 --- ifmail v.2.15dev5.3
  * Origin: Sviaz-Servis-Internet ltd. (Sovam-Teleport) (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    hifn: Ошибка при сборке ядра   Sergey A. Yakovets   17 Mar 2006 17:52:34   Re: hifn: Ошибка при сборке ядра   Eugene Grosbein   17 Mar 2006 20:44:44   hifn: Ошибка при сборке ядра   Max Khon   20 Mar 2006 13:41:36   Re: hifn: Ошибка при сборке ядра   Eugene Grosbein   20 Mar 2006 16:09:03   hifn: Ошибка при сборке ядра   Max Khon   22 Mar 2006 02:19:40   hifn: Ошибка при сборке ядра   Slawa Olhovchenkov   22 Mar 2006 03:13:26   hifn: Ошибка при сборке ядра   Max Khon   24 Mar 2006 13:19:14   Re: hifn: Ошибка при сборке ядра   Valentin Nechayev   24 Mar 2006 12:54:29   Re: hifn: Ошибка при сборке ядра   Andrew Filonov   24 Mar 2006 14:41:19   Re: hifn: Ошибка при сборке ядра   Vadim Goncharov   24 Mar 2006 18:05:06   Re: hifn: Ошибка при сборке ядра   Valentin Nechayev   25 Mar 2006 11:07:59   hifn: Ошибка при сборке ядра   Max Khon   26 Mar 2006 00:57:28   Re: hifn: Ошибка при сборке ядра   Valentin Nechayev   26 Mar 2006 14:35:38   hifn: Ошибка при сборке ядра   Andrey Ostanovsky   26 Mar 2006 18:27:34   Re: hifn: Ошибка при сборке ядра   Andrew Filonov   26 Mar 2006 20:50:03   Re: hifn: Ошибка при сборке ядра   Andrew Filonov   26 Mar 2006 20:48:32   Re: hifn: Ошибка при сборке ядра   Valentin Davydov   28 Mar 2006 19:41:13   Re: hifn: Ошибка при сборке ядра   Andrew Filonov   29 Mar 2006 11:36:52   Re: hifn: Ошибка при сборке ядра   Vadim Goncharov   01 Apr 2006 23:29:24   Re: hifn: Ошибка при сборке ядра   Valentin Nechayev   29 Mar 2006 12:39:43   Re: hifn: Ошибка при сборке ядра   Andrew Filonov   29 Mar 2006 14:16:15   hifn: Ошибка при сборке ядра   Andrey Ostanovsky   26 Mar 2006 00:03:20   Re: hifn: Ошибка при сборке ядра   Eugene Grosbein   22 Mar 2006 11:44:05   hifn: Ошибка при сборке ядра   Max Khon   24 Mar 2006 13:18:14   Re: hifn: Ошибка при сборке ядра   Eugene Grosbein   24 Mar 2006 15:37:13   hifn: Ошибка при сборке ядра   Max Khon   25 Mar 2006 14:45:34   Re: hifn: Ошибка при сборке ядра   Michael Babakov ()   25 Mar 2006 16:33:46   hifn: Ошибка при сборке ядра   Slawa Olhovchenkov   25 Mar 2006 22:49:12