Infection
iB3 PostgreSQL Coder | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору купил сеня книжку "Брэндмауэры в Linux", рулезная штука стал хоть во что-то врубатся вроде вообщем ситуация такая стоит сервер (DNS, POP, SMTP, HTTP, FTP, SSH) неа ней две сетевухи - одна наружу, другая во внуттреннюю сеть смотрит по умолчанию входящий и исходящий траффик акцептится, при этом пакеты, как я понял, поступающие на "внешний интерефейс" акцепятся, если сервис существует или реджектятся если нифига нету. юзвери ходять в нет, при этом не маскарадятся. при чем имеют доступ такого плана: отсылать пакеты могут куда угодно и по любому порту, но принимать могут только по разрешенным, то есть к примеру вирус поймали и вперед отсылать по UDP... Если у пользователя нет разрешенных портов, то он все равно может отсылать все что угодно во внешний мир, но при этом не получит ответа, но может свободно пользоваться сервисами на сервере. также идет подсчет траффика с помощью сторонних скриптов. пакеты между сервером и провайдером не считаются. идет подсчет входящего и исходящего траффика между "внешним" и "внутренним" интерфейсами, а также входящего и исходящего интернет траффика для каждого пользователя локальной сети. помоему политика не правильная. я предпологаю следующий расклад вещей: 1. разрешить входящие и исходящие пакеты к сервисным портам (DNS, POP, SMTP, HTTP, FTP, SSH) от куда угодно 2. запретить внутренней сетке отправлять и принимать пакеты во внешний мир 4. разрешить полный доступ к локальному серверу 3. разрешить некоторым пользователям использовать интернет: а) пропускать исходящие пакеты если порт назначения является сервисным (HTTP, FTP, ICQ, SSH и т.п.) б) пропускать входящие пакеты, если инициатором соединения был локальный компьютер в) блокировать входящие пакеты, если локальный компьютер не был инициатором соединения г) маскарадить пользователей, которые ходят в интернет. д) все прыдедущие пункты сделать для ppp соединений ------------------------------------------------------------------------------------------ я так понял все это можно запросто осуществить? Правильна ли политика? Что нужно подправить и какие есть подводные камни? я вот еще не совсем с порядком правил разобрался... Добавлено и если чего упустил с политикой.. то подскажите плиз... |