Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Peresunko                  2:5020/400     18 Feb 2002  14:57:21
 To : Vlad Urban
 Subject : Re: ipfw
 -------------------------------------------------------------------------------- 
 
 Vlad Urban <Vlad.Urban@f2131.n5020.z2.fidonet.org> wrote:
 
 VU>подскажите пожалуйста, достаточно этих правил для безопасности системы
 VU>снаружи:
 VU>
 VU>00007       0          0 allow tcp from 192.168.0.0/24 to me 21
 
 Для ftp 21 порта не достаточно.
 VU>00008       0          0 allow tcp from 192.168.0.0/24 to me 23
 
 а от телнета лучше вообще отказаться
 
 VU>00009       0          0 allow tcp from 192.168.0.0/24 to me 25
 VU>00010       0          0 allow tcp from 192.168.0.0/24 to me 53
 
 по TCP передаются зоны. Для ДHС нужно еще и UDP
 VU>00011      39       1752 allow tcp from 192.168.0.0/24 to me 110
 VU>00012       0          0 allow tcp from 192.168.0.0/24 to me 111
 VU>00013       6        303 allow tcp from 192.168.0.0/24 to me 119
 VU>00014       0          0 allow tcp from 192.168.0.0/24 to me 80
 VU>00015       0          0 deny tcp from any to me 21
 VU>00016       0          0 deny tcp from any to me 23
 VU>00017       0          0 deny tcp from any to me 25
 VU>00018       0          0 deny tcp from any to me 53
 VU>00019       0          0 deny tcp from any to me 110
 VU>00021       0          0 deny tcp from any to me 111
 VU>00022       0          0 deny tcp from any to me 119
 VU>00023       0          0 deny tcp from any to me 80
 VU>00024      12        576 deny tcp from any to me 139
 VU>65535   2300010 1373253669 allow ip from any to any
 
 ИМХО политика должна быть "разрешено все, что не запрещено",
 а у тебя получается "разрешено все, кое-что запрещено"
 
 А вообще для начала (если у тебя FreeBSD)
 man 7 firewall
 less /etc/rc.firewall - проанализируй что там есть и подумай, как
 сделать то, что тебе надо.
 
 Если что не так, старшие товарищи меня поправят :)
 PS Глядя на эти правила, думаю, что тебе надо бы почитать что-нибудь
 о TCP/IP и о сервисах, которые ты собираешься защищать. ИМХО.
 -- 
 Best regards, Alexander Peresunko.
 --- ifmail v.2.15dev5
  * Origin: Somewhere in a space (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: ipfw   Alexander Peresunko   18 Feb 2002 14:57:21 
Архивное /ru.unix.bsd/4421fcb1d389.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional