 Автор |
Сообщение |
Arkan
Гуру
 |
|
| На Opennete - много всего но там свои нюансики есть - много устаревшего...и это устаревшее надо по идее удалять а там все хранится - только путаютя пользователи... |
|
 |
|
 |
sbm
Форумчанин
 |
|
| Ну понятное дело устаревшее, но в ipfw появившиеся новые функции очень специфичные (вообще freebsd очень консервативная система, и каких-то глобальных потрясений можно не бояться). А для того чтобы не оставлять систему all from any to any информации должно хватить. Главное основу понять, а там уже и о новых функциях можно маны на английском почитать, и то если понадобится. |
|
| |
|
|
Arkan
Гуру
|
|
2sbm
ну скажи ну вот почему в большинстве ставят правило
all from any to any
это же не совсем правильно
А вот на счет немного устаревшего - у меня был такой случай: начитался я манов и начал пересобирать ядрышко под FreeBSD - раз систему убил - два убил - а потом узнаю что ввели изменения в перекомпиляцию - мол надо иначе делать
Так что я бы не сказал что консервативная система
ну а различия в версиях samba и говорить не стоит - до сих пор не могу понять почему при аналогичных настройках версии samba 2.2.12 и 3... - файловый сервак вообще не виден (новая версия) - вот тоже консерватизм, и что туда в безопасность навтыкали... |
|
| |
|
|
sbm
Форумчанин
|
|
Arkan
не знаю что там ставит большинство, у меня всегда block all стоит, и открыто только нужное, в нужных направлениях, нужным адресатам.
ядро собирается
make depend
make
make install
сейчас вводят новый способ buildkernel, installkernel, но работают ОБА (очень консервативно)! я собираю по старому.
| Цитата: |
samba 2.2.12 и 3... |
| Цитата: |
при аналогичных настройках |
вот это как раз тот случай, когда стоит проверить настройки 
P.S.
| Цитата: |
раз систему убил - два убил |
У вас определенно талант, вы мне на весь вечер заряд хорошего настроения подарили. |
|
| |
|
|
weer
Гуру
 Предупреждений : 2
|
|
| Arkan писал(а): |
ну скажи ну вот почему в большинстве ставят правило
all from any to any
это же не совсем правильно |
 аффтар жжот неподецки |
|
| |
|
|
Richard Ferlow
Гуру
 Предупреждений : 2
|
|
weer
Я все таки без исы буду настраивать Ибо реально единовременно буду настраивать за достаточно небольшую сумму
, и посему разбираться в ISA нет времени.
Arkan, товарисч, прекращайте уже на форуме кащенизмом со своим FreeBSD заниматься.
Для человека, которому вверяют штуки за 8 штук баксов вы производите впечатление весьма плохо разбирающегося. |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Richard Ferlow писал(а): |
Ибо реально единовременно буду настраивать за достаточно небольшую сумму
, и посему разбираться в ISA нет времени. |
а вот фиг его знает что проще на самом деле.у тебя раз глюканет керио или ТИ при подсчете трафика и будет тебе задачка как же так так людям объяснить куда и сколько денег надо.
ну да ладно дело твое. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
weer
Не, там несколько проще, посему нормально все.
Там менеджеры сидят, и задача просто их немного контроллировать. |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
| аффтар жжот неподецки |
Ну поделитесь информацией - правилами разумеется
Мне нужно конкретно полный запрет на фаере на все входящие порты кроме 80
и разумеется полное разрешение на все исходящие
ну если вы знаете то почемубы вам не ответить ???
У меня в данный момент имеется так
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
firewall_enable="YES"
firewall_type="/etc/firewall.conf"
add 65000 allow all from any to any
что мне надо написать вместо последней строчки
Вот сдесь почемуто все юниксоиды пропали услышав мой вопрос
http://www.es-nso.ru/forum/viewtopic.php?t=5476&start=30
на другом форуме сказали что это вообще не надо делать и так далее |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
Arkan я уже немного отвык от идеологии фаерволов (ipfw iptables, netsh и т.д.)
но по моему личному мнению для подобного рода систем самое важное - это как раз чтобы с машины-хоста доступа не было никуда. т.е. трафик может бегать насквозь в любом направлении.
но не с локального хоста и тем более не до него (за исключением 1 порта админки закрытого ipsec)
по этой причине при составлении списка правил надо руководствоваться следующими соображениями:
1) высший уровень - политика ipsec (для защиты локального хоста и при необходимости - блокировки dmz от DDoS)
2) далее лежат правила системных политик, разрешающие доступ dns, dhcp, NTP и т.д. с локального хоста туда куда нужно
3) запрет доступа локального хоста куда бы то ни было (на всякий случай - фиг его знает что ниже будет)
4)правила для dmz
5)правила доступа из dmz во внутреннюю сеть и наоборот
6)правило запрещающее обращение из внутреней сети в dmz и наоборот
7) потом идут клиентские наборы правил
8) нижнее правило DENY all to all
может конечно я и просмотрел что.
еще раз повторюсь с "простыми" фаерволами год уже не работал.
но при желании подобного рода статей можно найти кучу, там все с объяснениями и т.д.
маршрутизаторы/коммутаторы второго и третего уровня само собой предлагают более совершенные схемы за счет анализа протоколов и содержимого.
но извини меня all from any to any - это диагноз. |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan я на тебя жаловаться буду ты уже заколебал посты править. хорошим манерам что-ли не учили? |
|
| |
|
|
Arkan
Гуру
|
|
all from any to any - согласен что это диагноз - но вот как раз вот такое многие и советуют
Ну я с тобой полностью согласен что ты изложил - но правила мне всетаки нужны для фаера...
у меня просто такая ситуация что на фряхе есть расшаренная папочка для нескольких компов а так же крутится маленький сайтик - компы в свою очередь используют фряху как шлюз и мне надо закрыть доступ из вне - пока что все обходится нормально - взял погонять маршрутизатор хороший а вот без него былабы полная попа - да и пасы по привычке у меня не 30 и не 50 значные - поболее конечно... |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan писал(а): |
| да и пасы по привычке у меня не 30 и не 50 значные - поболее конечно |
ржунемогу 
спасите - живот болит |
|
| |
|
|
Arkan
Гуру
|
|
А что такого - все нормально
ну не ставить же 123 - видел такие |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan ты наверное моей смерти хочешь |
|
| |
|
|
Arkan
Гуру
|
|
| weer писал(а): |
| Arkan ты наверное моей смерти хочешь |
И после такого ты думаеши что ты уважаешь людей ???
Такое можно услышать только от самой последней М-зи...Последний раз редактировалось: Arkan (Вт 20-03-07 : 20-46), всего редактировалось 1 раз |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan писал(а): |
| оскарбления |
все таки что то мне подсказывает что этот молодой человек в школе учится. ну или не сильно далеко от этого ушел. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
weer
Я почему-то того же мнения. |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Richard Ferlow спалился на паролях |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
Тсс.... никому не рассказывайте только.....
сейчас Arkan будет делать вид что он обиделся и топик больше не читает |
|
| |
|
|
|
