From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <maksim@otstavnov.com>
From: Maksim Otstavnov <maksim@otstavnov.com>
X-Mailer: The Bat! (v1.51) Personal
Organization: home office
X-Priority: 3 (Normal)
Message-ID: <315499337.20020121194128@otstavnov.com>
To: mandrake-russian@altlinux.ru
Subject: Re: [mdk-re] help understand please (Firewall)
In-Reply-To: <20020121154418.0ee23358.laedel@pochtamt.ru>
References: <3C48141E.8080106@iop.kiev.ua>
 <20020118153611.60c54389.vyt@vzljot.ru> <3C481A49.2060905@iop.kiev.ua>
 <20020119011639.07e02477.laedel@pochtamt.ru> <3C4874E4.D8D5EE86@altlinux.ru>
 <20020119195237.4e1f2c3a.laedel@pochtamt.ru>
 <20020119204906.19f86f2d.info@atmsk.ru>
 <20020120114519.1ba2391c.gosha@sendmail.ru>
 <20020120135936.65e5ed5f.info@atmsk.ru>
 <20020121154418.0ee23358.laedel@pochtamt.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
X-Reply-To: Maksim Otstavnov <maksim@otstavnov.com>
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Mon Jan 21 19:52:43 2002
X-Original-Date: Mon, 21 Jan 2002 19:41:28 +0300
Archived-At: <http://lore.altlinux.org/community/315499337.20020121194128@otstavnov.com/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Hello Olga,

Monday, January 21, 2002, 11:44:18 AM, you wrote:

O> Речь идет не о полной изоляции (извне не пущать ни единого пакета),
O> а об изоляции всех локальных сервисов от "домогательств" извне,
O> оставив их доступными исключительно для локальных пользователей.
O> И в то же время, оставить локальным пользователям доступ во внешний 
O> мир. Например, локальным www-сервером (или MTA, или чем угодно еще)
O> могут пользоваться только лишь локальные пользователи, но доступ к
O> другим серверам где-нибудь в интернете им (локальным пользователям)
O> не закрыт. 

O> Можно ли вообще этого добиться каким-либо общим, универсальным способом,

Нет, нельзя, и прежде всего из-за существования и популярности
stateless-протоколов, таких, как http. Пока файрволл не стал очень
(слишком?) умным, для него (1) обращение клиента к http-серверу и (2)
ответ последнего -- два не связанных друг с другом события, и
(2) выглядит именно что "домогательством извне". Которое, тем не
менее, нужно удовлетворить.

-- 
-- Maksim