Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Iliya Petrusenko                     2:5020/400     19 Jun 2001  12:46:39
 To : All
 Subject : Re: secur
 -------------------------------------------------------------------------------- 
 
 
 "Gleb Smirnoff" <glebius@snark.rinet.ru> сообщил/сообщила в новостях
 следующее: news:9gljn9$d9i$1@ddt.demos.su...
 
 > Iliya Petrusenko <ilushka@akela.inc.ru> wrote:
 >
 > Это Message Submission Agent. В каком-то из RFC написано,
 > что цывильно, когда MTA обмениваются друг с другом исключительно
 > по одному порту (по 25), а MTA c MUA по отдельному, например по 587.
 > Hо имхо этого никто не юзает. Если я не прав, то кто-то знающий
 > поправит.
 
 Thanx
 
 >
 > > Еще вопрос: имеет-ли смысл использовать на машине локальный firewall?
 > Конечно имеет. Сразу все проблемы с перекрытием mysql и прочего
 > отпадут.
 >
 
 Угу...
 Hапомню задачу:
 Машина с веб-сервером, наружу порты 80 и 22, для конкретного ip-адреса
 (webmaster) ФТПЯ.
 
 В ядре опция TCP_RESTRICT_RST - правильно?
 Опция TCP_DROP_SYNFIN вроде как не рекомендуется для веб-сервера?
 Я правильно понимаю, что эта опция не пропускает пакеты с установленными
 флагами начала и конца пакета?
 
 Hабросок правил (поправьте, если что не так):
 
 # Антиспуфинг
 pass all from any to any via lo0
 deny all from any to 127.0.0.0/8
 # Доступ к ДHС серверу
 pass udp from ip_адрес_моего_сервера to ip_адрес_dns_сервера 53
 pass udp from ip_адрес_dns_сервера 53 to ip_адрес_моего_сервера
 # Убиваем фрагментированные ICMP
 deny icmp from any to any frag
 pass icmp from any to any
 # Разрешаем подключение к HTTPD и SSH
 pass tcp from any to ip_адрес_моего_сервера 80 setup
 pass tcp from any to ip_адрес_моего_сервера 22 setup
 # Разрешаем подключаться по FTP webmaster'у
 pass tcp from ip_адрес_вебмастера to ip_адрес_моего_сервера 21 setup
 pass tcp from ip_адрес_вебмастера to ip_адрес_моего_сервера 20 setup
 # Разрешаем исходящие и входящие
 pass tcp from ip_адрес_моего_сервера to any
 pass tcp from any to ip_адрес_моего_сервера establishment
 # Все остальное нельзя
 deny all from any to any
 
 Хочу услышать Ваши мнения...
 Удачи!
 Илья.
 --- ifmail v.2.15dev5
  * Origin: Demos Online Service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 secur   Iliya Petrusenko   18 Jun 2001 21:37:54 
 Re: secur   Gleb Smirnoff   18 Jun 2001 22:16:45 
 Re: secur   Iliya Petrusenko   18 Jun 2001 22:59:54 
 Re: secur   Gleb Smirnoff   18 Jun 2001 23:12:28 
 Re: secur   Andrey V. Pevnev   19 Jun 2001 10:00:26 
 Re: secur   Iliya Petrusenko   19 Jun 2001 12:46:39 
 Re: secur   Gleb Smirnoff   19 Jun 2001 13:35:19 
 Re: secur   Iliya Petrusenko   19 Jun 2001 14:11:51 
 Re: secur   Kirill Ponomarew   19 Jun 2001 17:41:23 
 secur   Alex Semenyaka   21 Jun 2001 00:38:20 
Архивное /ru.unix.bsd/778988087f4c.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional