Re: lug-bg: Страннотии с firewall-a
- Subject: Re: lug-bg: Страннотии с firewall-a
- From: Georgi Alexandrov <georgi.alexandrov@xxxxxxxxx>
- Date: Thu, 09 Mar 2006 18:58:09 +0200
- Delivered-to: lug-bg-list@xxxxxxxxxxxxxxxxxx
- Delivered-to: lug-bg@xxxxxxxxxxxxxxxxxx
- Openpgp: id=37B4B3EE; url=http://pgp.mit.edu/
Nikola Antonov wrote:
> Принципно аз не съм фен на подобни решения. За мен е винаги много съмнителен
> от гледна точка на функционалност и оптимизация firewall, който още от самото
> начало не задава политика по подразбиране DROP на всички вериги.
Дали е в началото или края май няма значение ;-)
> Простата
> логика предполага първо да се блокира всичко на ниво политика и после да се
> разрешат изрично исканите услуги.
Абе май не е точно така, първо пакетите преминават през правилата на
дадена верига и чак след това ако стигнат края те се приемат или
изпускат според политиката на веригата.
> Само така може да сме сигурни, че от
> плетеницата в правила няма да "изтече" нещо. А и по този начин се постига
> максумим ефективност с минимум код.
>
За максимум ефективност можем да поспорим, зависи от натовареността. В
някои ситуации да замесиш и layer 4 (OSI) ти излиза малко солено от към
хардуерни ресурси.
Представи си един *МНОГО* натоварен уеб сървър (знам, че linux-bg.org не
попада в тази категория) със зареден ip_conntrack модул следящ абсолютно
всички връзки, еми ти няма да смогнеш да и купуваш RAM на тази
машина/машини. Има вариант за raw таблица и NOTRACK target но там нещата
са експериментални и ефекта може би не е много сигурен.
В някои случаи просто не можеш да си позволиш DROP политики на веригите.
--
regards,
Georgi Alexandrov
Key Server = http://pgp.mit.edu/ :: KeyID = 37B4B3EE
Key Fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE
Attachment:
signature.asc
Description: OpenPGP digital signature
|