From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: AVL To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] help understand please (Firewall) Message-Id: <20020121170112.2c8af5ee.info@atmsk.ru> In-Reply-To: <20020121154418.0ee23358.laedel@pochtamt.ru> References: <3C48141E.8080106@iop.kiev.ua> <20020118153611.60c54389.vyt@vzljot.ru> <3C481A49.2060905@iop.kiev.ua> <20020119011639.07e02477.laedel@pochtamt.ru> <3C4874E4.D8D5EE86@altlinux.ru> <20020119195237.4e1f2c3a.laedel@pochtamt.ru> <20020119204906.19f86f2d.info@atmsk.ru> <20020120114519.1ba2391c.gosha@sendmail.ru> <20020120135936.65e5ed5f.info@atmsk.ru> <20020121154418.0ee23358.laedel@pochtamt.ru> Organization: dermlig X-Mailer: Sylpheed version 0.6.5 (GTK+ 1.2.10; i586-alt-linux) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Mon Jan 21 17:01:44 2002 X-Original-Date: Mon, 21 Jan 2002 17:01:12 +0300 Archived-At: List-Archive: List-Post: > AVL> ipchains -A input -s localhost -j Accept > AVL> ipchains -A input DENY > > Кажется, я неточно сформулировала вопрос. > Речь идет не о полной изоляции (извне не пущать ни единого пакета), > а об изоляции всех локальных сервисов от "домогательств" извне, > оставив их доступными исключительно для локальных пользователей. > И в то же время, оставить локальным пользователям доступ во внешний > мир. Например, локальным www-сервером (или MTA, или чем угодно еще) > могут пользоваться только лишь локальные пользователи, но доступ к > другим серверам где-нибудь в интернете им (локальным пользователям) > не закрыт. нормальное желание. собственно, вышеприведенные строчки с учетом поправок его и реализуют. надо уточнять или поменять политику? пожалуйста. ipchains -F input // очищаем цепочку правил для входящих пакетов ipchains -P input ACCEPT // разрешаем по умолчанию прием пакетиков ipchains -A -s ! localhost -d port:25 -j DENY //всех кто лезет на smtp отбивать, если только не сам ipchains -A -s ! localhost -d port:110 -j DENY //всех кто лезет на pop3 отбивать, если только не сам .... и так для всех закрываемых сервисов. также можно в настройках сервисов сделать привязку (binding) только к localhost в идеале nmap должен выдавать пустоту, раз сервисов наружу не предполагается иметь. тогда вообще никакой хацкер не пролезет и даже логи не замусорятся. :) > > Можно ли вообще этого добиться каким-либо общим, универсальным способом, > или необходима настройка по отдельности каждого запускаемого сервиса в > его собственных конфигах? > > > > > > > > > Gosha> Это он шутит так. :-))) > AVL> я уже не в том возрасте, когда можно безнаказанно шутить над девушками. :) > Да в том Вы возрасте, в том - раз от темы фаерволлов и MTA быстро переходите к теме девушек :) > > > _______________________________________________ > Mandrake-russian mailing list > Mandrake-russian@altlinux.ru > http://altlinux.ru/mailman/listinfo/mandrake-russian >