uprava firewallu nezkusenym uzivatelem
Ivo Panacek
ivop na regionet.cz
Čtvrtek Listopad 21 15:28:25 CET 2002
On Čt, 2002-11-21 at 14:58, David Trcka wrote:
> On Thu, Nov 21, 2002 at 02:39:33PM +0100, Ing. Martin Homola wrote:
> > To zni zajimave, mohl byste naznacit nejake jednoduche zpusoby jak to
> > obejit?
>
> Vzhledem k tomu, ze jsem to instaloval, tak mohl (nepredpokladam, ze jste
> tam nedelal nejake zasadni zmeny). Nazev firewall je tam vicemene na okrasu,
> protoze tam neni co chranit. Ten server slouzi jako proxy a maskarada. Je na
> nem zakazan pristup na port 80 z vnitrnich siti jen proto, aby nahodou
> nedoslo k tomu, ze se postupne na stanicich porusi nastaveni proxy a pak by
> vsichni jeli bez proxy, ktery by ztratil svuj prvotni vyznam, kvuli kteremu
> tam je: usetrit bandwidth. Vsechny jine porty jsou povolene k maskaradovani,
> takze staci, kdyz si divenka postezuje priteli, ze nemuze ve vyuce na web,
> pritel ji pusti u sebe maleho squida nebo neco podobneho a ona si zmeni
> nastaveni proxy v prohlizeci. To je ten nejjednodussi zpusob. Napada me
> jeste aspon 5 dalsich, jak bych to udelal jinak.
>
> Pokud byste to timto zpusobem chtel dotahnout do konce, muselo by se
> _zasadnim_ zpusobem prehodnotit nastaveni na tom serveru, protoze v puvodnim
> navrhu instalace se s timto zachazenim nepocitalo. Ne ze by se to opomelo,
> ale nebylo to v zadani.
Aha, pak to samozrejme nic nevyresi. Ja vetsinou smerem ven zakazuji
temer vse, az na definovane vyjimky (ssh, ntp, ...) jen pro nektere
stroje. Ostatni museji vsude jen pres proxy. Je zrejme, ze pokud se
otevre nektery dport na vsechy ip adresy, tak tam nekdo muze posadit
venku proxy a je to jedno.
ivo
Další informace o konferenci Linux