| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
 Добавлено: Пт Сен 12 2003 08:46 Заголовок сообщения: Keep-State как способ блокирования входящих! |
 |
|
Доступ из интернета к моему ip должен быть закрыт полностью.
Я и мои внутренние подсети должны иметь доступ ко всему пушистому Интернету.
Мне известен только один способ сделать это - путем создания динамических (временных) правил (разрешений) для доступа снаружи.
Так как это реализовано с помощью Keep-State.
Однако я слышал что это не самый лучший способ.
Кто-нибудь может объяснить почему и предложить альтернативу?
P.S. Это я про ipfw в UNIX FreeBSD
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
 |
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
| Добавлено: Пт Сен 12 2003 10:21 Заголовок сообщения: Re: Keep-State как способ блокирования входящих! |
|
|
Если доступ из Интернета к твоему ИП будет отключен полностью, как ты выразился, то никакого пушистого интернета тебе и твоей подсети не видать, как моих ушей! Хериться будут все входящие запросы. Так что желание отрубиться полностью должно у тебя отпасть.
А защищаться надо. Так что, как ты сам и сказал, надо ставить файервол (незнаю, является ли им Keep-State) и делать желательно все-таки не временные, а постоянные правила для доступа снаружи. Это, по-моему, является не то что лучшим, а просто единственным способом при существовании в интернете, если интересует результат, конечно.
По самой программе ничего сказать не могу - не знаю ее, уж извини. Юниксоиды помогут. И МАНы тоже! 
Удачи!
_________________
Удачи! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Пт Сен 12 2003 12:23 Заголовок сообщения: Я бы дал всем машинам IP-номера 192.168.*.* и выводил их наружу через маскарадинг. (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пт Сен 12 2003 18:10 Заголовок сообщения: Можно задавать правила фаервол для доступа наружу, но естестенно пакет должен как-то возвращаться, специально для него формируе |
|
|
Можно задавать правила фаервол для доступа наружу, но естестенно пакет должен как-то возвращаться, специально для него формируется динамическое правило на некоторое время. Что позволяет в общем-то нормально коннектится
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пт Сен 12 2003 18:13 Заголовок сообщения: Маскарадингом ты называешь NAT - я так понял. И это гарантия того что во внутренние подсети никто не проникнет? Ни при каких ус |
|
|
Маскарадингом ты называешь NAT - я так понял. И это гарантия того что во внутренние подсети никто не проникнет? Ни при каких условиях? Дык, NAT стоит, все, ничего больше не надо делать?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Пт Сен 12 2003 18:48 Заголовок сообщения: Маскарадинг - это динамический NAT. Номера 192.168.*.* почти гарантируют недоступность внутренней сетИ |
|
|
Тут надо раздичать две вещи:
1) Маскарадинг (динамический NAT) позволяет машинам получать почти прозрачный доступ наружу (исключение - FTP в пассивном режиме и ещё кое-что).
2) Безопасность даёт использование IP-номеров 192.168.*.* или 172.[16..31].*.* или 10.*.*.*, т.к. роутер провайдера не направляет пакеты с такими номерами к вам. Т.е. исходящие соединения будут работать, а входящие даже не установятся.
Зайди ко мне на http://prof.pi2.ru - почитай про сети. |
|
| Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
| Добавлено: Пт Сен 12 2003 19:08 Заголовок сообщения: Re: Можно задавать правила ... |
|
|
Я имел ввиду, что правило действует постоянно. Коннект, разумеется, не постоянный.
_________________
Удачи! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
