From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Comment: RFC 2476 MSA function at mx18.yandex.ru logged sender identity as: vova1971 Date: Sun, 27 Mar 2005 20:35:31 +0400 From: =?koi8-r?B?98zBxMnNydIg59XTxdc=?= To: community@altlinux.ru Subject: Re: =?koi8-r?B?W0NvbW1dIFJlOiBpcHRhYmxlcywgcG9ydCAwIMkgU3RlYWx0aCAoYmxvY2tl?= =?koi8-r?B?ZCBwb3J0cywgUkVKRUNUKQ==?= References: <20050327160634.GA3615@lks.home> Content-Type: text/plain; format=flowed; delsp=yes; charset=koi8-r MIME-Version: 1.0 Content-Transfer-Encoding: 8bit Message-ID: In-Reply-To: <20050327160634.GA3615@lks.home> User-Agent: Opera M2(BETA3)/8.0 (Linux, build 1019) X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 27 Mar 2005 16:35:37 -0000 Archived-At: List-Archive: List-Post: >> 1. Что за порт 0 и как его закрывать? > netstat -vatwun ? Вы имели в виду сделать вывод команды? [root@vova etc]# netstat -vatwun Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:4239 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN tcp 0 0 10.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2583 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:13756 0.0.0.0:* LISTEN tcp 0 0 10.0.0.1:2766 128.180.196.141:4233 ESTABLISHED tcp 0 0 10.0.0.1:2811 66.90.102.128:80 ESTABLISHED tcp 0 0 10.0.0.1:3139 81.211.64.80:143 ESTABLISHED tcp 0 0 10.0.0.1:5489 205.188.8.8:5190 ESTABLISHED udp 0 0 0.0.0.0:1024 0.0.0.0:* udp 0 0 0.0.0.0:1414 0.0.0.0:* udp 0 0 0.0.0.0:4239 0.0.0.0:* udp 0 0 0.0.0.0:2583 0.0.0.0:* udp 0 0 10.0.0.1:53 0.0.0.0:* udp 0 0 127.0.0.1:53 0.0.0.0:* udp 0 0 0.0.0.0:1369 0.0.0.0:* udp 0 0 0.0.0.0:111 0.0.0.0:* udp 0 0 10.0.0.1:123 0.0.0.0:* udp 0 0 127.0.0.1:123 0.0.0.0:* udp 0 0 0.0.0.0:123 0.0.0.0:* raw 0 0 0.0.0.0:1 0.0.0.0:* >> 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до >> 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на >> диаграмме в зеленом цвете)? > не факт, например, если нужен доступ извне к какой-нибудь службе, то > зачем > ее закрывать. Например? SSH ? Если бы у меня дома был бы статич. IP, то я прописал бы правило на шлюз для моего входе извне.. а так как у меня динамич. адрес, то я не знаю, стоит ли оставлять открытым SSH. По ходу использования такой простой настройки iptables (точнее таблицы filter) выявил следующее - невозможен доступ к личным кабинетам некоторых интернет-сервисов, например к личному кабинету на сайте провайдера, вход в GMail через вэб-интерфейс - я так понимаю. что посылается некий сертификат "доверия" сервера, который является NEW по типу пакета. Как с этим быть? >> 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении >> для >> простейшего шлюза с одной задачей - доступ в интернет для локальной >> сети. > Лучше поставьте firehol и не мучайтесь. Firehol ? Не слыхал о таком.. Посмотрю, но если это графич. "приблуда" типа guarddog или Firewall Builder, то они меня только путают.. Еле-еле начинаю понимать суть вещей.. -- С уважением, Владимир Гусев