Firewalling

[Leos Bitto]

On Mon, 27 Apr 1998, Stefan Simko wrote:

> ked bloknes zvonka paket ktory ma SYN a nema ACK tak nikto stream
> neestablishne (toto sa iba domnievam). niektore paketfiltre umoznuju
> filtrovat na zaklade tychto flagov

Trefa do cerneho. Presne takhle se to v Linuxu dela.

> a teraz moja otazka:
> predpokladam ze vsetci uznate ze aplikacne gateways su daleko bezpecnejsia
> architektura ako paketfiltre

To je pravda. Ale za cenu toho ze spoustu veci proxy nedokaze...

> v praxi sa clovek castejsie stretne s paketfiltrami pretoze su lacnejsie
> a vedia ich konfigurovat aj uplni luseri, samozrejme ze nespravne na

Tak s timhle naprosto souhlasim. Je mnohem jednodussi spatne 
nakonfigurovat paketovy filtr nez aplikacni proxy.

> linuxe je aj paketfilter aj aplikacny gateway zadarmo PRECO teda v tejto
> newsgrupe vsetci furt tocia o paketfiltroch? (mozno by sa to malo
> vybavit par riadkami vo FAQ) 

Tak treba proc ja mam mnohem radsi paketfilty nez aplikacni proxy: protoze
uzivatele mnohem mene omezuji. Je sice pravda ze jsou i uzivatele kterym
staci Squid coby WWW a FTP proxy plus mailovani, ale je take spousta
zvidavejsich uzivatelu kterym neco takoveho proste nestaci. A vymysleji si
natolik ze na to proste aplikacni proxy stacit z principu nemuze. Tak co s
nimi? Poradne jim nakonfiguravat paketovy filtr.

No a proc se tu toci rec o paketfiltrech a ne o aplikacnich gatewayich? To
neni preci nikde prikazane... kdyz se tu nekdo bude mit chut bavit o
aplikacnich proxy na Linuxu, ma moznost... zakazane to preci neni. ;)
Pokud tedy nebudete pitvat tu proxy samotnou, coz s Linuxem nema moc
spolecneho.




Leos Bitto