On Mon, 21 Jan 2002 15:44:18 +0700 Olga wrote: > Вопрос как раз о простом способе сделать это фаерволлом (если таковой > действительно прост и универсален). _Можно ли таким образом закрыть > всем, кроме локальных пользователей, доступ к каким бы то ни было > сервисам, запущенным на данной машине?_ Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а не анализирует пользователей на локальных или нет. Помимо просто закрывания портов можно еще запретить пакеты с флагом SYN (точно не помню, в IPCHAINS-HOWTO описан), то есть запретить инициализировать соединения на сервер, используется, например, на прокси на внешнем интерфейсе. > Кажется, я неточно сформулировала вопрос. > Речь идет не о полной изоляции (извне не пущать ни единого пакета), > а об изоляции всех локальных сервисов от "домогательств" извне, > оставив их доступными исключительно для локальных пользователей. > И в то же время, оставить локальным пользователям доступ во внешний > мир. Например, локальным www-сервером (или MTA, или чем угодно еще) > могут пользоваться только лишь локальные пользователи, но доступ к > другим серверам где-нибудь в интернете им (локальным пользователям) > не закрыт. > > Можно ли вообще этого добиться каким-либо общим, универсальным способом, > или необходима настройка по отдельности каждого запускаемого сервиса в > его собственных конфигах? Универсальным - нельзя, нужно настраивать каждый сервис. Firewall'ом можно позакрывать все порты извне, кроме клиентских и, например, DNS и SMTP. Кстати, уточните - нужно открыть доступ только своим пользователям или только локальным адресам? -- Regards, Vyt mailto: vyt@vzljot.ru JID: vyt@vzljot.ru