From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Mikhail Zabaluev To: mandrake-russian@altlinux.ru Message-ID: <20020121091608.GB27270@mhz.mikhail.zabaluev.name> Mail-Followup-To: Mikhail Zabaluev , mandrake-russian@altlinux.ru References: <3C48141E.8080106@iop.kiev.ua> <20020118153611.60c54389.vyt@vzljot.ru> <3C481A49.2060905@iop.kiev.ua> <20020119011639.07e02477.laedel@pochtamt.ru> <3C4874E4.D8D5EE86@altlinux.ru> <20020119195237.4e1f2c3a.laedel@pochtamt.ru> <20020119204906.19f86f2d.info@atmsk.ru> <20020120114519.1ba2391c.gosha@sendmail.ru> <20020120135936.65e5ed5f.info@atmsk.ru> <20020121154418.0ee23358.laedel@pochtamt.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20020121154418.0ee23358.laedel@pochtamt.ru> User-Agent: Mutt/1.3.25i Subject: [mdk-re] Re: help understand please (Firewall) Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Mon Jan 21 12:13:11 2002 X-Original-Date: Mon, 21 Jan 2002 12:16:08 +0300 Archived-At: List-Archive: List-Post: Hello Olga, On Mon, Jan 21, 2002 at 03:44:18PM +0700, Olga wrote: > > Кажется, я неточно сформулировала вопрос. > Речь идет не о полной изоляции (извне не пущать ни единого пакета), > а об изоляции всех локальных сервисов от "домогательств" извне, > оставив их доступными исключительно для локальных пользователей. > И в то же время, оставить локальным пользователям доступ во внешний > мир. Например, локальным www-сервером (или MTA, или чем угодно еще) > могут пользоваться только лишь локальные пользователи, но доступ к > другим серверам где-нибудь в интернете им (локальным пользователям) > не закрыт. > > Можно ли вообще этого добиться каким-либо общим, универсальным способом, > или необходима настройка по отдельности каждого запускаемого сервиса в > его собственных конфигах? У меня работает следующий кусок в ipchains: ipchains -N frominet ipchains -A input -i eth0+ -j frominet ipchains -A frominet -p udp -s 10.254.0.2/32 domain -j ACCEPT ipchains -A frominet -p udp -s 217.10.32.0/24 domain -j ACCEPT ipchains -A frominet -p udp -s 212.45.0.3/32 domain -j ACCEPT ipchains -A frominet -p udp -s 195.2.64.0/24 -d 0.0.0.0/0 ntp -j ACCEPT ipchains -A frominet -p tcp -y -j REJECT -l ipchains -A frominet -p udp -j REJECT -l Цепочка frominet обрабатывает все пакеты, пришедшие с eth0. Правила на domain и ntp разрешают обмен по UDP для соответствующих протоколов с нужных мне серверов. Предпоследнее правило сбивает все попытки установить TCP-соединение извне и не затрагивает соединения, установленные с моей машины. C iptables похожая возня, но мне пока было лень их изучить. -- Stay tuned, MhZ JID: mookid@jabber.org ___________ No problem is so formidable that you can't just walk away from it. -- C. Schulz