From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Olga To: mandrake-russian@altlinux.ru Message-Id: <20020121154418.0ee23358.laedel@pochtamt.ru> In-Reply-To: <20020120135936.65e5ed5f.info@atmsk.ru> References: <3C48141E.8080106@iop.kiev.ua> <20020118153611.60c54389.vyt@vzljot.ru> <3C481A49.2060905@iop.kiev.ua> <20020119011639.07e02477.laedel@pochtamt.ru> <3C4874E4.D8D5EE86@altlinux.ru> <20020119195237.4e1f2c3a.laedel@pochtamt.ru> <20020119204906.19f86f2d.info@atmsk.ru> <20020120114519.1ba2391c.gosha@sendmail.ru> <20020120135936.65e5ed5f.info@atmsk.ru> Mime-Version: 1.0 Content-Type: text/plain; charset="KOI8-R" Content-Transfer-Encoding: 8bit Subject: [mdk-re] help understand please (Firewall) Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Mon Jan 21 11:41:01 2002 X-Original-Date: Mon, 21 Jan 2002 15:44:18 +0700 Archived-At: List-Archive: List-Post: Olga> Извините, если задаю глупый вопрос, но нельзя ли подобную Olga> проблему "вырвать с корнем" соответствующими настройками в Olga> /etc/hosts.allow и /etc/hosts.deny cornet> Не совсем так. Эти директивы влияют на xinetd а значит и на cornet> работу pop3 но не более того. cornet> smtp от них не зависит, это настраивается непосредственно в cornet> конфигах postfix. cornet> Му собственно в postfix по умолчанию так и есть, в minetworks cornet> стоит 127.0.0.1/32 тоесть отправлять через него почту могут cornet> только локальные юзеры. cornet> Во многих случаях, когда сервисы работают не через xinetd cornet> необходимо именно в их собственных конфигах прописывать кого куда cornet> пускать. Можено решить эту задачу проще и радикальнее - прибить cornet> все это фаерволлом, в правилах которого прописать хосты, порты и cornet> кому куда можно. Вопрос как раз о простом способе сделать это фаерволлом (если таковой действительно прост и универсален). _Можно ли таким образом закрыть всем, кроме локальных пользователей, доступ к каким бы то ни было сервисам, запущенным на данной машине?_ Olga> Вот это как раз и хотелось бы узнать. Решит ли проблему настройка Olga> такая, что никого, кроме localhost, не пускать ни на какой порт? Olga> И если это так и делается просто, то может быть кто-нибудь будет Olga> любезен рассказать, как это сделать. AVL> ipchains -A input -s localhost -j Accept AVL> ipchains -A input DENY Кажется, я неточно сформулировала вопрос. Речь идет не о полной изоляции (извне не пущать ни единого пакета), а об изоляции всех локальных сервисов от "домогательств" извне, оставив их доступными исключительно для локальных пользователей. И в то же время, оставить локальным пользователям доступ во внешний мир. Например, локальным www-сервером (или MTA, или чем угодно еще) могут пользоваться только лишь локальные пользователи, но доступ к другим серверам где-нибудь в интернете им (локальным пользователям) не закрыт. Можно ли вообще этого добиться каким-либо общим, универсальным способом, или необходима настройка по отдельности каждого запускаемого сервиса в его собственных конфигах? Gosha> Это он шутит так. :-))) AVL> я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :) Да в том Вы возрасте, в том - раз от темы фаерволлов и MTA быстро переходите к теме девушек :)