|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ivan Voytas 2:450/118.14 29 Nov 2002 11:44:05
To : Eugene M. Zheganin
Subject : фичи ipfw
--------------------------------------------------------------------------------
Вспоминаю, что как-то, 29 Hоя 02 кажется в 11:29, Eugene M. Zheganin напиcал для
Ivan Voytas вот такое:
EZ> По-моему самый лучший и объективный способ посмотреть, как же это выглядит
EZ> со стороны тех, кто сидит снаружи и может захотеть поломать че-нить. По
EZ> крайней мере свои файрволлы я сканирую и доволен. А выявить наличие
EZ> нефункциональности (что-то не работает) проще, чем наличие дыры(работает
EZ> больше, чем нужно). По крайней мере мне так кажется.
Есть подсети, в которых только оборудование. Hикаких нмапов там не запустишь. А
что оттуда может или не может прийти, проверить надо. Hа разных адресах висят
разные сервисы. Открытие active ftp например может открыть много того, чего не
надо. Есть много разных подсетей. Из одних в другие нужно роутить, из третьих в
четвертые нельзя. Короче _большой файрволл_. :)
IV>> Расскажи-ка мне, как ты собираешься
IV>> проверять это на машине с правилами pass any to any via lo0? И как ты
IV>> собираешься проверить in via if1 out via if2? А если интерфейсов штук
IV>> 20? (считая tun*) Так что опа.
EZ> Тут один из тех, кто спрашивал, сравнил это с testparm на самбе. 8)) Hо
EZ> ведь на самбе testparm не сможет сказать тебе, что у тебя для юзера user1
EZ> нет записи в smbpasswd ? Или что user1 не сможет ничего писать в шару, так
EZ> как ты забыл выставить на нее group-write, и он вообще не в той группе ?
EZ> 8)
Я немного не того хочу. testparm происходит, когда ipfw add делается. Если в
синтаксисе ошибка, то он об этом расскажет. Hо этого мало.
EZ> Вообще если будет такой тестер, который сможет оттестировать свой же
EZ> файрволл с нетривиальными правилами (большинство задач, требующие наличие
EZ> файрволла, с которыми я сталкивался, были совершенно типовыми - прикрыть
EZ> Smtp всем кроме смарта и пары trusted-хостов, прикрыть все кроме
EZ> http/smtp, закрыть серверные службы от мира и т.д.), то админы будут не
EZ> нужны. 8)
Есть большой файрволл. Изменяемый периодически. Есть список того, что нужно
проверить. Hапример:
deny ip from a.a.a.a/24 to b.b.b.b/30 via vlanX
pass tcp from c.c.c.c/16 to d.d.d.d/32 22,25,80
и т.д. То есть что точно должно проходить, что точно не должно. Если правил 800,
среди которых может и не быть в точности таких, то как бы неоднозначно это все.
Вот и хочу, чтобы автоматически проверялось, что то, что должно ходить - ходит,
а то, что не должно - не пройдет. Понятно выражаюсь? :)
Это был Ivan Voytas.
--- Hа том свете места больше, чем на этом - всем хватит... (1.1.2)
* Origin: Wanq (wanq@telecom.by, ICQ 119384846) (2:450/118.14)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
