|
|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Valentin Davydov 2:5020/400 07 Aug 2006 13:52:18 To : Alex Ivanov Subject : Re: firewall -------------------------------------------------------------------------------- > From: "Alex Ivanov" <orm@ridexgroup.ru> > Date: Sun, 6 Aug 2006 19:35:46 +0000 (UTC) > > VD> Саму машину закрывать firewallом имеет смысл разве что в случае, когда на > VD> ней крутится какой-нибудь proprietary сервис с подозрением на дырявость. > VD> В остальных случаях софт, которому пакет предназначен, поступит с ним не > VD> менее правильно, чем тупой firewall. >Если исходить из этой логики, то в грамотно настроенной сетке с нормальным >софтом фаервол не нужен. Что есть не верно. (надеюсь ясно, из-за чего? ) Hеясно, объясняй. Единственная причина, которая приходит мне в голову - грамотно настроить софт в сетке сложнее, чем на одной тачке. >IMHO все-таки правильнее и проще сделать ipfw deny all from any to any и >открыть только то, что нужно. >Потому, что в другом случае придется делать: >1. Сперва по sockstat найти все открытые не туда порты. >2. Пройтись по всем демонам, держащими открытые порты не туда, выяснить как >перевесить их на нужный ip, и/или указать им, какие подсети правильные, а >какие нет... А это в любом случае придётся делать (равно как и множество других вещей, начиная от выяснения банальных user credentials демона и к каким частям каких файловых систем он имеет доступ). >Я хочу напомнить, что большенство демонов при настройки по >умолчанию слушают на * (взять тот же syslog), Уел. Syslogd - классический пример необходимости firewallа вида 10 allow all from any to any via ${loopback_iface} 20 drop all from ${loopback_address} to any Вал. Дав. --- ifmail v.2.15dev5.3 * Origin: Demos online service (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix.bsd/6577fdf56e15.html, оценка из 5, голосов 10
|