* [mdk-re] Интернет защита
@ 2001-05-14 20:13 Lorry
2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei
` (2 more replies)
0 siblings, 3 replies; 15+ messages in thread
From: Lorry @ 2001-05-14 20:13 UTC (permalink / raw)
To: ALTLinux; +Cc: lorry
Добрый день!
Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах существуют разнообразные программы для защиты портов от атак из интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть ipchains, junkbuster а может что-то и еще. В виндах все программы уже настроены и надо их только запустить и все, тут же нет (наверное). Подскажите как правильно настроить firewall, какие порты имеет смысл перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной!
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-14 20:13 [mdk-re] Интернет защита Lorry
@ 2001-05-14 22:10 ` Sergei
2001-05-14 23:53 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-15 0:53 ` Lorry
2001-05-15 10:42 ` [mdk-re] Интернет защита cornet
2001-05-18 9:09 ` [mdk-re] Интернет защита Michael Shigorin
2 siblings, 2 replies; 15+ messages in thread
From: Sergei @ 2001-05-14 22:10 UTC (permalink / raw)
To: mandrake-russian
14 Май 2001 20:21 Вы написали:
> Добрый день!
> Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд.
> Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> существуют разнообразные программы для защиты портов от атак из интернета.
> Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть
> ipchains, junkbuster а может что-то и еще. В виндах все программы уже
> настроены и надо их только запустить и все, тут же нет (наверное).
> Подскажите как правильно настроить firewall, какие порты имеет смысл
> перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP.
> Помогите сделать систему защищенной!
Посмотрите еще man ipchains или man iptables
Если ядро 2.2.х, то использовать ipchains.
-|-|-|-|- 2.4.х, то iptables.
У firewall есть 3 цепочки по умолчанию:
input - туда пакет попадает при приходе на твою машину
forward - при передаче пакета с одного сетевого интерфейса на другой на твоей
машине.
output - при передаче пакета от твоей машины
Можно определить свои цепочки.
У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
Если пакет движется так:
---->eth0--->|твоя машина|--->eth1--->
то проходишь через все три цепочки по-очереди.
При определения для пакета дальнейших действий есть стандартные:
ACCEPT - пакет будет пропущен через цепочку
REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о
недоступности данного адреса
DENY - пакет будет отброшен без уведомления отправителя.
При указании типа протокола используйте -p <имя или номер протокола>
(посмотрите в /etc/protocols)
Так вот, для 2.2.19 (ваш комп 192.168.1.30):
ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам
от 30 до 190 включительно.
ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT
означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем
портам, при этом пакет должен уйти с порта от 30 до 190 включительно.
Для правильного закрывания портов посмотрите, какие программы открывают их и
какие именно (программа socklist поможет в этом), а затем для input или
output или обоих перекрыть доступ похожими на приведенные выше командами. Не
забудьте только открыть предварительно полный доступ для localhost
(127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он
поможет установить, какие порты чаще всего используются в тех или иных целях.
Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты,
которые используют программы-черви, троянские кони и т.д.
Если что, попробую помочь еще, может быть с переводом man в ipchains и
iptables. Желаю удачи.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ
2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei
@ 2001-05-14 23:53 ` Yuri Ryazantsev
2001-05-15 9:23 ` [mdk-re] Интернетзащита Maxim Savrilov
2001-05-15 0:53 ` Lorry
1 sibling, 1 reply; 15+ messages in thread
From: Yuri Ryazantsev @ 2001-05-14 23:53 UTC (permalink / raw)
To: mandrake-russian
On Mon, May 14, 2001 at 10:23:37PM +0400, Sergei wrote:
> У firewall есть 3 цепочки по умолчанию:
> input - туда пакет попадает при приходе на твою машину
> forward - при передаче пакета с одного сетевого интерфейса на другой на твоей
> машине.
> output - при передаче пакета от твоей машины
> Можно определить свои цепочки.
> У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
> Если пакет движется так:
> ---->eth0--->|твоя машина|--->eth1--->
> то проходишь через все три цепочки по-очереди.
Помогите решить следующую задачу (я ее решил, но очень криво):
local network---->eth0--->|firewall|--->eth1--->Internet
Для простоты маскарадинга нет и в локальной сети реальные IP.
Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
кроме firewall. А на нее доступ по ssh только с определенной машины из
локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP no
route to host (REJECT в ipchains). Понятна проблема: при forward пакетов
проходится и цепочка input.
with best wishes,
Yuri.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei
2001-05-14 23:53 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
@ 2001-05-15 0:53 ` Lorry
2001-05-15 1:35 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
1 sibling, 1 reply; 15+ messages in thread
From: Lorry @ 2001-05-15 0:53 UTC (permalink / raw)
To: mandrake-russian
On Mon, 14 May 2001 22:23:37 +0400
Sergei <serpiph@pochtamt.ru> wrote:
> 14 Май 2001 20:21 Вы написали:
> > Добрый день!
> > Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд.
> > Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> > существуют разнообразные программы для защиты портов от атак из интернета.
> > Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть
> > ipchains, junkbuster а может что-то и еще. В виндах все программы уже
> > настроены и надо их только запустить и все, тут же нет (наверное).
> > Подскажите как правильно настроить firewall, какие порты имеет смысл
> > перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP.
> > Помогите сделать систему защищенной!
> Посмотрите еще man ipchains или man iptables
> Если ядро 2.2.х, то использовать ipchains.
> -|-|-|-|- 2.4.х, то iptables.
> У firewall есть 3 цепочки по умолчанию:
> input - туда пакет попадает при приходе на твою машину
> forward - при передаче пакета с одного сетевого интерфейса на другой на твоей
> машине.
> output - при передаче пакета от твоей машины
> Можно определить свои цепочки.
> У каждой цепочки есть действие по умолчанию (ACCEPT, REJECT, DENY)
> Если пакет движется так:
> ---->eth0--->|твоя машина|--->eth1--->
> то проходишь через все три цепочки по-очереди.
> При определения для пакета дальнейших действий есть стандартные:
> ACCEPT - пакет будет пропущен через цепочку
> REJECT - пакет будет отброшен, а отправителю будет отправлен пакет о
> недоступности данного адреса
> DENY - пакет будет отброшен без уведомления отправителя.
> При указании типа протокола используйте -p <имя или номер протокола>
> (посмотрите в /etc/protocols)
> Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам
> от 30 до 190 включительно.
> ipchains -A input -s 192.168.1.0/24 30:190 -d 192.168.1.30/32 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ ко всем
> портам, при этом пакет должен уйти с порта от 30 до 190 включительно.
> Для правильного закрывания портов посмотрите, какие программы открывают их и
> какие именно (программа socklist поможет в этом), а затем для input или
> output или обоих перекрыть доступ похожими на приведенные выше командами. Не
> забудьте только открыть предварительно полный доступ для localhost
> (127.0.0.1/8 или 127.0.0.1/32)Также обратитесь к файлу /etc/services. Он
> поможет установить, какие порты чаще всего используются в тех или иных целях.
> Посмотрите еще файлы в /usr/share/nmap, там перечислены различные порты,
> которые используют программы-черви, троянские кони и т.д.
> Если что, попробую помочь еще, может быть с переводом man в ipchains и
> iptables. Желаю удачи.
>
> --
> С уважением, Епифанов Сергей
>
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
Вы написали "Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам
> от 30 до 190 включительно." - ведь при dialup Ip динамический, а сети у меня нет, я дома работаю. Как тут быть с ip?
--
__________________________________________________________
Best Regards!
**Lorry **
www.happyline.ru
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ
2001-05-15 0:53 ` Lorry
@ 2001-05-15 1:35 ` Yuri Ryazantsev
0 siblings, 0 replies; 15+ messages in thread
From: Yuri Ryazantsev @ 2001-05-15 1:35 UTC (permalink / raw)
To: mandrake-russian
On Tue, May 15, 2001 at 01:03:06AM +0400, Lorry wrote:
> Вы написали "Так вот, для 2.2.19 (ваш комп 192.168.1.30):
> > ipchains -A input -s 192.168.1.0/24 -d 192.168.1.30/32 30:190 -j ACCEPT
> > означает, что всем из сети 192.168.1 к вашему компу разрешен доступ к портам
> > от 30 до 190 включительно." - ведь при dialup Ip динамический, а сети у меня нет, я дома работаю. Как тут быть с ip?
ipchains -A input -i ppp0 -s 195.34.0.1 53 -p udp -j ACCEPT
значит - разрешаю DNS ответ снаружи с ns.ptt.ru
with best wishes,
Yuri.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-14 23:53 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
@ 2001-05-15 9:23 ` Maxim Savrilov
2001-05-15 21:14 ` Igor Solovyov
2001-05-15 22:27 ` Sergei
0 siblings, 2 replies; 15+ messages in thread
From: Maxim Savrilov @ 2001-05-15 9:23 UTC (permalink / raw)
To: mandrake-russian
Yuri Ryazantsev wrote:
> Помогите решить следующую задачу (я ее решил, но очень криво):
> local network---->eth0--->|firewall|--->eth1--->Internet
>
> Для простоты маскарадинга нет и в локальной сети реальные IP.
> Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
> кроме firewall. А на нее доступ по ssh только с определенной машины из
> локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP no
> route to host (REJECT в ipchains). Понятна проблема: при forward пакетов
> проходится и цепочка input.
ipchains -A input -s 0.0.0.0/0.0.0.0 -d firewall 22:22 -p 6 -i eth1 -j REJECT
ipchains -A input -s ! local_machine -d firewall 22:22 -p 6 -i eth0 -j REJECT
Другое дело, как это увяжется со остальными правилами на вашем firewall...
И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернет защита
2001-05-14 20:13 [mdk-re] Интернет защита Lorry
2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei
@ 2001-05-15 10:42 ` cornet
2001-05-15 22:28 ` [mdk-re] Интернетзащита Sergei
2001-05-18 9:09 ` [mdk-re] Интернет защита Michael Shigorin
2 siblings, 1 reply; 15+ messages in thread
From: cornet @ 2001-05-15 10:42 UTC (permalink / raw)
To: mandrake-russian
Lorry wrote:
>
> Добрый день!
> Я довольно давно работаю в Линуксе. Я использую его дома для домашних нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах существуют разнообразные программы для защиты портов от атак из интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В линуксе есть ipchains, junkbuster а может что-то и еще. В виндах все программы уже настроены и надо их только запустить и все, тут же нет (наверное). Подскажите как правильно настроить firewall, какие порты имеет смысл перекрыть, при условии, что используется лишь HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной!
Hello!!
Ну дык! Тем Линух и хорош, что каждый сам себе хозяйн и рулит системой в
меру своих знаний и сил :-))
Для начала очень рекомендую Иксовую прогу gfcc она как раз для
конфигурирования ipchains предназначена. Грузаните ее и нажмите кнопочку
Load fom file, увидите несколько заготовок фаервольных правил
(поставляются вместе с gfcc). Посмотрите, попробуйте, для старта это
очень полезно, и пример перед глазами, и есть за что мозгами зацепиться
для дальнейшего совершенствования. Лично мне эти заготовки в свое время
очень помогли врубиться во все это дело :-)
Удачи!
--
******** FIRE & STEEL ********
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-15 9:23 ` [mdk-re] Интернетзащита Maxim Savrilov
@ 2001-05-15 21:14 ` Igor Solovyov
2001-05-15 23:00 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-15 22:27 ` Sergei
1 sibling, 1 reply; 15+ messages in thread
From: Igor Solovyov @ 2001-05-15 21:14 UTC (permalink / raw)
To: mandrake-russian
Hi!
On Tue, 15 May 2001 12:33:21 +0700
Maxim Savrilov <Maxim.Savrilov@oberon.novocybersk.ru> wrote:
> ipchains -A input -s 0.0.0.0/0.0.0.0 -d firewall 22:22 -p 6 -i eth1 -j
> REJECT
> ipchains -A input -s ! local_machine -d firewall 22:22 -p 6 -i eth0 -j
> REJECT
>
>
> Другое дело, как это увяжется со остальными правилами на вашем
> firewall...
>
> И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
А еще средствами xinetd (/etc/xinetd.conf).
Занятная штука это xinetd.
--
Best regards!
Igor Solovyov
Zlatoust, Russia
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-15 9:23 ` [mdk-re] Интернетзащита Maxim Savrilov
2001-05-15 21:14 ` Igor Solovyov
@ 2001-05-15 22:27 ` Sergei
1 sibling, 0 replies; 15+ messages in thread
From: Sergei @ 2001-05-15 22:27 UTC (permalink / raw)
To: mandrake-russian
15 Май 2001 09:33 Вы написали:
> Yuri Ryazantsev wrote:
> > Помогите решить следующую задачу (я ее решил, но очень криво):
> > local network---->eth0--->|firewall|--->eth1--->Internet
> >
> > Для простоты маскарадинга нет и в локальной сети реальные IP.
> > Хочется чтобы из Инета доступ к ssh был к любой машине в локальной сети
> > кроме firewall. А на нее доступ по ssh только с определенной машины из
> > локальной сети. При этом неразрешенные доступы были бы с возвратом ICMP
> > no route to host (REJECT в ipchains). Понятна проблема: при forward
> > пакетов проходится и цепочка input.
>
ipchains -A input -s 127.0.0.1 -d firewall 22 -p tcp -i eth0 -j ACCEPT
ipchains -A input -s firewall -d firewall 22 -p tcp -i eth0 -j ACCEPT
ipchains -A input -s 0.0.0.0/0 -d firewall 22 -p tcp -j REJECT
И ACCEPT для всех трех цепочек по умолчанию. Иначе нужно специально
прописывать разрешения на прохождение пакетов из сети в сеть.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-15 10:42 ` [mdk-re] Интернет защита cornet
@ 2001-05-15 22:28 ` Sergei
0 siblings, 0 replies; 15+ messages in thread
From: Sergei @ 2001-05-15 22:28 UTC (permalink / raw)
To: mandrake-russian
15 Май 2001 10:49 Вы написали:
> Lorry wrote:
> > Добрый день!
> > Я довольно давно работаю в Линуксе. Я использую его дома для домашних
> > нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в виндах
> > существуют разнообразные программы для защиты портов от атак из
> > интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber e.t.c. В
> > линуксе есть ipchains, junkbuster а может что-то и еще. В виндах все
> > программы уже настроены и надо их только запустить и все, тут же нет
> > (наверное). Подскажите как правильно настроить firewall, какие порты
> > имеет смысл перекрыть, при условии, что используется лишь HTTP, POP,
> > IMAP, SMTP, FTP. Помогите сделать систему защищенной!
>
> Hello!!
>
> Ну дык! Тем Линух и хорош, что каждый сам себе хозяйн и рулит системой в
> меру своих знаний и сил :-))
>
> Для начала очень рекомендую Иксовую прогу gfcc она как раз для
> конфигурирования ipchains предназначена. Грузаните ее и нажмите кнопочку
> Load fom file, увидите несколько заготовок фаервольных правил
> (поставляются вместе с gfcc). Посмотрите, попробуйте, для старта это
> очень полезно, и пример перед глазами, и есть за что мозгами зацепиться
> для дальнейшего совершенствования. Лично мне эти заготовки в свое время
> очень помогли врубиться во все это дело :-)
>
> Удачи!
Я просто взял man-страницу от ipchains и сделал себе правила.
--
С уважением, Епифанов Сергей
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ
2001-05-15 21:14 ` Igor Solovyov
@ 2001-05-15 23:00 ` Yuri Ryazantsev
2001-05-16 9:21 ` [mdk-re] Интернетзащита Maxim Savrilov
2001-05-16 22:43 ` Igor Solovyov
0 siblings, 2 replies; 15+ messages in thread
From: Yuri Ryazantsev @ 2001-05-15 23:00 UTC (permalink / raw)
To: mandrake-russian
On Tue, May 15, 2001 at 11:18:45PM +0600, Igor Solovyov wrote:
> > И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
>
> А еще средствами xinetd (/etc/xinetd.conf).
> Занятная штука это xinetd.
Штучка то занятная, но с sshd увязывается плохо.
with best wishes,
Yuri.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-15 23:00 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
@ 2001-05-16 9:21 ` Maxim Savrilov
2001-05-16 22:43 ` Igor Solovyov
1 sibling, 0 replies; 15+ messages in thread
From: Maxim Savrilov @ 2001-05-16 9:21 UTC (permalink / raw)
To: mandrake-russian
Yuri Ryazantsev wrote:
> On Tue, May 15, 2001 at 11:18:45PM +0600, Igor Solovyov wrote:
>
> > > И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
> >
> > А еще средствами xinetd (/etc/xinetd.conf).
> > Занятная штука это xinetd.
>
> Штучка то занятная, но с sshd увязывается плохо.
>
> with best wishes,
Ну и не делайте через него.
openssh в Spring собран с tcp-wrappers, поэтому спокойно можно прописать в
/etc/hosts.allow на firewall
sshd: local_machine_ip
и все
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернетзащита
2001-05-15 23:00 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-16 9:21 ` [mdk-re] Интернетзащита Maxim Savrilov
@ 2001-05-16 22:43 ` Igor Solovyov
1 sibling, 0 replies; 15+ messages in thread
From: Igor Solovyov @ 2001-05-16 22:43 UTC (permalink / raw)
To: mandrake-russian
Hi!
On Tue, 15 May 2001 23:05:11 +0400
Yuri Ryazantsev <yuri@unix.ru> wrote:
> On Tue, May 15, 2001 at 11:18:45PM +0600, Igor Solovyov wrote:
>
> > > И вообще доступ к ssh можно запретить и через /etc/hosts.allow|deny
> >
> > А еще средствами xinetd (/etc/xinetd.conf).
> > Занятная штука это xinetd.
>
> Штучка то занятная, но с sshd увязывается плохо.
Чем плохо? IMHO очень даже ничего.
Во всяком случае то о чем шла речь, вполне решается.
--
Best regards!
Igor Solovyov
Zlatoust, Russia
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернет защита
2001-05-14 20:13 [mdk-re] Интернет защита Lorry
2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei
2001-05-15 10:42 ` [mdk-re] Интернет защита cornet
@ 2001-05-18 9:09 ` Michael Shigorin
2001-05-18 11:14 ` Vyt
2 siblings, 1 reply; 15+ messages in thread
From: Michael Shigorin @ 2001-05-18 9:09 UTC (permalink / raw)
To: ALTLinux
On Mon, 14 May 2001, Lorry wrote:
> Добрый день!
> Я довольно давно работаю в Линуксе. Я использую его дома для домашних
> нужд. Я крайне доволен им и менять его не собираюсь. Вот вопрос: в
> виндах существуют разнообразные программы для защиты портов от атак
> из интернета. Вы все их знаете: ZoneAlarm, AtGuard, Nuke Nabber
Не знал ни одной...
> e.t.c. В линуксе есть ipchains, junkbuster а может что-то и еще. В
junkbuster -- баннероприбивалка. Это можно делать и файрволлом, но
файрволлить junkbusterom... ;-)
> виндах все программы уже настроены и надо их только запустить и все,
> тут же нет (наверное). Подскажите как правильно настроить firewall,
> какие порты имеет смысл перекрыть, при условии, что используется лишь
> HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной!
/usr/share/doc/HOWTO/*/IPCHAINS-HOWTO
Несколько дольше, но _как_ полезно!
2All: прочитал, руки зачесались дома с ToS побаловаться -- там,
ftp = max througput, mail = max reliability, http/ssh = min delay...
--
WBR, Michael Shigorin, webmaster @ www.chem.univ.kiev.ua
>Home Page: http://visa.chem.univ.kiev.ua/~mike/ ICQ: 113344029
>Brainbench: http://www.brainbench.com/transcript.jsp?pid=2434729
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [mdk-re] Интернет защита
2001-05-18 9:09 ` [mdk-re] Интернет защита Michael Shigorin
@ 2001-05-18 11:14 ` Vyt
0 siblings, 0 replies; 15+ messages in thread
From: Vyt @ 2001-05-18 11:14 UTC (permalink / raw)
To: mandrake-russian
On Fri, 18 May 2001 08:16:26 +0300 (EEST)
Michael Shigorin <mike@lic145.kiev.ua> wrote:
<skipped>
> > тут же нет (наверное). Подскажите как правильно настроить firewall,
> > какие порты имеет смысл перекрыть, при условии, что используется лишь
> > HTTP, POP, IMAP, SMTP, FTP. Помогите сделать систему защищенной!
> /usr/share/doc/HOWTO/*/IPCHAINS-HOWTO
> Несколько дольше, но _как_ полезно!
>
> 2All: прочитал, руки зачесались дома с ToS побаловаться -- там,
> ftp = max througput, mail = max reliability, http/ssh = min delay...
Если в ядрах 2.2.x - попробуйте iproute2, у ipchains возможности в этом
плане никакие (IMHO). В 2.4.x - iptable.
<skipped>
--
Regards, Vyt
mailto:vyt@vzljot.ru
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2001-05-18 11:14 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-05-14 20:13 [mdk-re] Интернет защита Lorry
2001-05-14 22:10 ` [mdk-re] Интернетзащита Sergei
2001-05-14 23:53 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-15 9:23 ` [mdk-re] Интернетзащита Maxim Savrilov
2001-05-15 21:14 ` Igor Solovyov
2001-05-15 23:00 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-16 9:21 ` [mdk-re] Интернетзащита Maxim Savrilov
2001-05-16 22:43 ` Igor Solovyov
2001-05-15 22:27 ` Sergei
2001-05-15 0:53 ` Lorry
2001-05-15 1:35 ` [mdk-re] éÎÔÅÒÎÅÔÚÁÝÉÔÁ Yuri Ryazantsev
2001-05-15 10:42 ` [mdk-re] Интернет защита cornet
2001-05-15 22:28 ` [mdk-re] Интернетзащита Sergei
2001-05-18 9:09 ` [mdk-re] Интернет защита Michael Shigorin
2001-05-18 11:14 ` Vyt
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git