From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Vyt To: mandrake-russian@altlinux.ru Subject: Re: Re[4]: [mdk-re] Spring2001- =?KOI8-R?B?8NLPwszFzcEg0w==?= Internet Message-Id: <20010409122715.5ee9ac86.vyt@vzljot.ru> In-Reply-To: <1179414034.20010409115510@mailru.com> References: <00da01c0c063$efea9f40$8947efc3@duke> <20010409103941.01cad04d.vyt@vzljot.ru> <746836414.20010409111213@mailru.com> <20010409113445.4d8850a8.vyt@vzljot.ru> <1179414034.20010409115510@mailru.com> X-Mailer: Sylpheed version 0.4.62 (GTK+ 1.2.8; i586-mandrake-linux) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Mon Apr 9 12:31:35 2001 X-Original-Date: Mon, 9 Apr 2001 12:27:15 +0400 Archived-At: List-Archive: List-Post: On Mon, 9 Apr 2001 11:55:10 +0400 Serge Skorokhodov wrote: > V> так что, если они не нужны, лучше не удалять, а не > V> запускать совсем. Какие правила в Spring по умолчанию - > V> не знаю, он еще не доехал :) Советую почитать > V> Ipchains-HOWTO: > > V> http://www.mgul.ac.ru/~t-alex/Linux/IPCHAINS-HOWTO/index.htm > > По поводу многих HOWTO, которые есть в дистрибутиве > (документация в целом стала беднее, чем в семерке, хотя и > обновлена:(, то они к сильно особенной в смысле безопасности > "весне" не слишком подходят, так мне показалось. Хотя, это Почему "весне"? Spring - это же прыжок, рывок, прорыв... > и поверхностное мнение. > > V> Для себя я делал политику "что не разрешено - запрещено": > V> ipchains -P input DENY > V> ipchains -P output DENY > V> Потом добавляются правила для работы: icmp, dns, www, smtp, pop3, imap, > V> ntp, ftp, и т.д. > > Сразу вопрос: может реально понадобится система, где все это Нет, конечно. Без icmp вообще траффика нормального не будет. Лучше разрешать только то, в чем уверены, тогда будет сложнее настраивать, но и сложнее ломать (напортачить). > запрещено? По крайней мере какова доля таких систем в > реальной жизни? > > V> Если не известны порты/протоколы - можно поставить в начале цепочки > V> правило -l -j DENY(ACCEPT) и посмотреть их в логе. > > Спасибо за ответы, теперь будет легче. К сожалению, в > "Весне-2001" столь много и сразу поменялось, что только > начинающиму что-то "рубить" в семерке несколько неуютно. > Между прочим, под виндами перепробовал кучу файерволлов, все > так или иначе работают и защищают:) Но во всех настройки ??? Можно названия тех, что нормально работают? У меня от AtGuard'а такое впечатление... > МНОГО понятнее и автоматизированней:( Это так, бурчание. Чем понятнее? Главное - знать, как работает, синтаксис - дело наживное. К тому же AtGuard'у - мне, например, непонятно, почему он некоторые правила не отрабатывает. А автоматизация - это, скорее, недостаток. -- Regards, Vyt mailto:vyt@vzljot.ru