Re: iptables & mozilla
Было дело, что Fri, 16 Apr 2004 21:46:24 +0400
Nicholas писал(а):
> Vasiliy 'Druid' Misharev wrote:
> > On Thu, Apr 15, 2004 at 08:28:59PM +0400, Nicholas wrote:
> >>Пока же хотелось узнать как сделать так чтоб работала Мозилла у
> >которой >"source port естественно разный".
> > странно что оно у тебя вообще с таким подходом работает.
> > я обычно разрешаю весь icmp, закрываю входящие на 0:1024 и что ещё
> > торчит, и разрешаю то что надо. исходящие разрешаю все.
> Честно говоря я пока не понял за чем мне icmp...
> Что касаемо идеи дать всем локальным приложениям полный Accept - то я
> только что из мира Windows
> где фаерйвол использовался скорее для того чтоб не давать всяким Ос,
> Медиаплеерам и др. коммерческим программам
> ходить к себе на сайты без разрешения. Так что выработалась привычка
> давать разрешенния конкретным приложениям на определенные порты,
> хотелось бы продолжить традицию.
AFAIK, не получиться. Традиции win в linux особо не приживаются.
Я могу ошибаться (поправьте, отцы), но
1) iptables не контролирует от какой программы пришел пакет, т.к. он
принимает решение о пропускании/блокировании/... на основе данных из
заголовка, а не из содержимого пакета.
2) порты выше 32000 используются приложениями-клиентами для связи с
удаленной машиной. Каждый раз предугадать какой порт откроет приложения
нельзя. Т.о. ставя drop на все исходящие, "обламываем" не только
мурзилку-тормозилку, но и все приложения в целом.
--
Best regards,
Yury A. Yurevich
Registered Linux User #276311
Debian 3.0r1 Woody kernel 2.6.3
Reply to: