|
|
Re: lug-bg: Страннотии с firewall-a
- Subject: Re: lug-bg: Страннотии с firewall-a
- From: Nikola Antonov <nikola@xxxxxxxxxxxx>
- Date: Thu, 9 Mar 2006 10:00:08 +0200
- Delivered-to: lug-bg-list@xxxxxxxxxxxxxxxxxx
- Delivered-to: lug-bg@xxxxxxxxxxxxxxxxxx
- Organization: Linux For Bulgarians
On Thursday 09 March 2006 09:42, Nikola Antonov wrote:
Направи ми впечатление, че в променливата $PORT си посочил конкретни портове
за пропускане, но не видях някъде да имаш "-j DROP" за всичко останало. Защо
не промениш долното правило да прилага действие DROP вместо RETURN?
> > $IPT -A tcp_inbound -p TCP -j RETURN
Това може и да оправи нещата.
Принципно аз не съм фен на подобни решения. За мен е винаги много съмнителен
от гледна точка на функционалност и оптимизация firewall, който още от самото
начало не задава политика по подразбиране DROP на всички вериги. Простата
логика предполага първо да се блокира всичко на ниво политика и после да се
разрешат изрично исканите услуги. Само така може да сме сигурни, че от
плетеницата в правила няма да "изтече" нещо. А и по този начин се постига
максумим ефективност с минимум код.
--
Linux-BG.org
--
System Administrator
--
tel: +359 2 976 13 02
mobile: +359 889 90 99 11
--
Public GnuPG key at http://wwwkeys.pgp.net
Fingerprint: AD64 2468 0AB4 B298 E7E3 92DA 15F5 7AC5 A05E 0F63
|
|
|