* [Comm] For Michael Bykov (Was: жуткий оффтопик)
@ 2003-04-10 6:26 Antonio
2003-04-10 6:45 ` [Comm] отлуп SMTP (was: For Michael Bykov) Grigory Batalov
0 siblings, 1 reply; 2+ messages in thread
From: Antonio @ 2003-04-10 6:26 UTC (permalink / raw)
To: ALT Linux Community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Доброго времени суток!
Приношу извинения всему остальному сообществу, но напрямую
Михаилу письмо отправить не удается (его почтовик дает отлуп).
Почему -- в курсе, исправить нарушение стандарта (несоответствие
адреса в From и реального smtp) на своем конце не имею
возможности. :( Подробности могу изложить отдельно.
Возможно, тема покажется интересной не только нам с ним. ;-)
- ---------- Forwarded message ----------
Date: Wed, 9 Apr 2003 17:38:25 +0400 (MSD)
From: Antonio <obidos@mail.ru>
To: Michael Bykov <mb@bibler.ru>
Subject: Re: [Comm] Re: [Comm] [Windows-1251] фСРЙХИ НТ[Windows-1251] РНОХЙ
On Wed, 9 Apr 2003, Michael Bykov wrote:
> Пишу лично раз офтопик. У меня та же ситуация. На линуксовой
> машине внутри сети стоит самба. Провайдер пробросил ssh. Что,
> дыра? Как обезопаситься?
Введем некоторые понятия:
1) защищенная сеть (ко всем ее машинам доступ извне закрыт, но с
одной на другую в пределах сети и с машин защищенной сети в
интернет -- можно).
2) DMZ -- "демилитаризованная зона". К машинам этой сети можно
иметь доступ как из интернета, так и из машин защищенной сети.
Но ни одна машина, принадлежащая DMZ, не может иметь доступ в
защищенную сеть. В DMZ обычно размещаются почтовый, веб- и
ftp-серверы, а также то, к чему по правилам принятой политики
безопасности можно давать доступ извне.
Получается примерно такая схема построения типовой сети
организации:
------------------------------
| --- |
| |DMZ| |
| --- |
| | |
| -------- |
Inet---|firewall|---|secure_net1| |
| -------- . . . |
| | . . . |
| -------|secure_netN| |
| |
------------------------------
Все, что находится внутри большого прямоугольника, принадлежит
организации, "Inet" -- суть шнурок от провайдера. Все, что
находится за пределами организации, считается незащищенным и
опасным.
secure_net1, ... secure_netN -- защищенные сети, обязательно
разные _физически_, включаемые в _разные_ порты файрволла. DMZ
- -- также отдельная _физическая_ сеть (возможно, состоящая всего
из одной машины), включенная в свой _отдельный_ порт файрволла.
На файрволле запрещено устанавливать любые сервисы, будь то ftp,
mail или еще что. В идеале это, конечно же, специализированная
железяка, но в реальности отлично работает (например, у меня,
тьфу-тьфу-тьфу) OpenBSD в режиме transparent bridge с оторванным
всем, кроме Packet Filter.
Тот ssh, который вам пробрасывает провайдер, вы можете
пробрасывать на своем файрволле только на какую-то из машин,
принадлежащую DMZ, но никак не в какую-либо из защищенных
сетей, иначе вся защита теряет смысл.
Смысл всего сказанного выше:
1) Любая возможность подключиться извне -- потенциальная
опасность.
2) Машины в DMZ не должны содержать _ЦЕННЫХ_ или
конфиденциальных данных.
3) При взломе любой машины, принадлежащей DMZ, защищенные сети
не страдают.
4) При взломе любой машины, принадлежащей защищенной сети,
страдают и защищенные сети, и DMZ.
5) Взлом файрволла равносилен взлому всех сетей, как DMZ, так и
всех защищенных, поэтому к его настройке подходят особенно
тщательно, не допуская ни одного сервиса на файрволле. Его
задача -- грубо говоря, распределять пакеты, а не принимать
почту или что еще.
P.S. Все это можно найти в Интернете в более четком изложении, в
том числе и с примерами настроек файрволла. Поищите, например,
на http://www.opennet.ru.
- --
Best regards,
Tony. mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)
iD8DBQE+lQ6B2gaLrWRbr5URAiWaAKCTPA0x7F+9kgPiEEXami3eyhC3eACdFOqe
uaazdUZT/USmzv0N4GE0Fiw=
=5vEg
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [Comm] отлуп SMTP (was: For Michael Bykov)
2003-04-10 6:26 [Comm] For Michael Bykov (Was: жуткий оффтопик) Antonio
@ 2003-04-10 6:45 ` Grigory Batalov
0 siblings, 0 replies; 2+ messages in thread
From: Grigory Batalov @ 2003-04-10 6:45 UTC (permalink / raw)
To: community
On Thu, 10 Apr 2003 10:26:07 +0400 (MSD)
Antonio <obidos@mail.ru> wrote:
> Приношу извинения всему остальному сообществу, но напрямую
> Михаилу письмо отправить не удается (его почтовик дает отлуп).
> Почему -- в курсе, исправить нарушение стандарта (несоответствие
> адреса в From и реального smtp) на своем конце не имею
> возможности. :( Подробности могу изложить отдельно.
Если это отлуп при проверке соответствия HELO реальному домену,
то сам недавно с этим возился. Вычитал, что RFC не рекомендует
отказывать в приёме почты из-за такого несоответствия.
Однако на очень многих SMTP-серверах такая проверка стоит
и порою осложняет жизнь.
--
Баталов Григорий,
группа техподдержки
ОАО "Ковдорский ГОК"
т. +7 (81535) 76225
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2003-04-10 6:45 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-04-10 6:26 [Comm] For Michael Bykov (Was: жуткий оффтопик) Antonio
2003-04-10 6:45 ` [Comm] отлуп SMTP (was: For Michael Bykov) Grigory Batalov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git