From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Vyt To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] help understand please (Firewall) Message-Id: <20020121115312.6a3dd627.vyt@vzljot.ru> In-Reply-To: <20020121154418.0ee23358.laedel@pochtamt.ru> References: <3C48141E.8080106@iop.kiev.ua> <20020118153611.60c54389.vyt@vzljot.ru> <3C481A49.2060905@iop.kiev.ua> <20020119011639.07e02477.laedel@pochtamt.ru> <3C4874E4.D8D5EE86@altlinux.ru> <20020119195237.4e1f2c3a.laedel@pochtamt.ru> <20020119204906.19f86f2d.info@atmsk.ru> <20020120114519.1ba2391c.gosha@sendmail.ru> <20020120135936.65e5ed5f.info@atmsk.ru> <20020121154418.0ee23358.laedel@pochtamt.ru> X-Mailer: Sylpheed version 0.6.6 (GTK+ 1.2.10; i586-alt-linux) Mime-Version: 1.0 Content-Type: multipart/signed; protocol="application/pgp-signature"; micalg=pgp-sha1; boundary="=.4T3FPUJNOrPk1q" Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Mon Jan 21 11:50:14 2002 X-Original-Date: Mon, 21 Jan 2002 11:53:12 +0300 Archived-At: List-Archive: List-Post: --=.4T3FPUJNOrPk1q Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit On Mon, 21 Jan 2002 15:44:18 +0700 Olga wrote: > Вопрос как раз о простом способе сделать это фаерволлом (если таковой > действительно прост и универсален). _Можно ли таким образом закрыть > всем, кроме локальных пользователей, доступ к каким бы то ни было > сервисам, запущенным на данной машине?_ Нельзя. Firewall на пакетном уровне смотрит на адреса и порты, а не анализирует пользователей на локальных или нет. Помимо просто закрывания портов можно еще запретить пакеты с флагом SYN (точно не помню, в IPCHAINS-HOWTO описан), то есть запретить инициализировать соединения на сервер, используется, например, на прокси на внешнем интерфейсе. > Кажется, я неточно сформулировала вопрос. > Речь идет не о полной изоляции (извне не пущать ни единого пакета), > а об изоляции всех локальных сервисов от "домогательств" извне, > оставив их доступными исключительно для локальных пользователей. > И в то же время, оставить локальным пользователям доступ во внешний > мир. Например, локальным www-сервером (или MTA, или чем угодно еще) > могут пользоваться только лишь локальные пользователи, но доступ к > другим серверам где-нибудь в интернете им (локальным пользователям) > не закрыт. > > Можно ли вообще этого добиться каким-либо общим, универсальным способом, > или необходима настройка по отдельности каждого запускаемого сервиса в > его собственных конфигах? Универсальным - нельзя, нужно настраивать каждый сервис. Firewall'ом можно позакрывать все порты извне, кроме клиентских и, например, DNS и SMTP. Кстати, уточните - нужно открыть доступ только своим пользователям или только локальным адресам? -- Regards, Vyt mailto: vyt@vzljot.ru JID: vyt@vzljot.ru --=.4T3FPUJNOrPk1q Content-Type: application/pgp-signature -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) iD8DBQE8S9b7d6sY3eC5PjQRAoenAKCQB2UJtgizblu1IgFTAO3SpvjtGgCeIRnD YcLnNgv85UhKLMP7xMDN9xk= =jKOC -----END PGP SIGNATURE----- --=.4T3FPUJNOrPk1q--