Re: regulki sciany ogniowej
Dnia Mon, Jun 23, 2003 at 09:42:31PM +0200 Michał napisał/a:
> > > "Jeśli Twoje zapytania DNSowe są zawsze kierowane do tej samej
> > > zewnętrznej maszyny (albo bezpośrednio przez użycie serwera nazw w pliku
> > > '/etc/resolv.conf' lub przez użycie cache'u serwera nazw w trybie
> > > przekazywania), będziesz potrzebował tylko pozwolenia na połączenia TCP
> > > do tego serwera na port 'domain' z lokalnego portu 'domain' (jeśli
> > > używasz serwera nazw cache'ującego) lub na wyższy port (>1023) jeśli
> > > używasz '/etc/resolv.conf'."
> > Nie do końca rozumiem w czym może tu być problem...
>
> Ja tez nie rozumiem, ale jest problem :(
Wyjaśnij.
> > > Co z tym zrobic zeby to poszlo?
> > `$path -I input -i ppp0 -s 192.168.1.0/24 -l -j DENY`;
> > `$path -I input -i ppp0 -s 127.0.0.0/24 -l -j DENY`;
> > nie ma sensu, bo i tak masz policy DENY...
>
> ale chwile potem mam wpuszcanie wszystkich polaczen na okreslone porty z
> sieci wewnetrznej. Ruter ma 2 interfejsy ppp0 i eth0, to powyzsze to
> dodatkowe zabezpieczenie przed spoofingiem. Czyli wszystkie polaczenia
> nadchodzace na ppp0 z adresem ip loopback lub 192.168.1.0/24 sa
> odrzucane.
Nie wiem jak jest w ipchains ale w iptables możesz spokojnie użyć "!"
(invert), co na słabszej maszynie może troszke skrócić drogę pakietu przez
filtr.
> :) Po rozmowie wczoraj z Rafalem Członką, a zwlaszcza dlatego ze
> znalazlem u niego dokument ipchains->iptables chyba skompiluje jajko
> 2.4.x :)
Gratulacje!
;)
pzdr
yanek
--
Proszę o nieprzysyłanie mi załączników Worda, Excela ani PowerPointa.
Zob.: http://www.fsf.org/philosophy/no-word-attachments.pl.html
Reply to: