firewall a HTTP
Michal Kubecek
mike na mk-sys.cz
Čtvrtek Srpen 5 02:45:44 CEST 2004
On Thu, Aug 05, 2004 at 02:19:42AM +0200, Chlopcik Ales wrote:
>
> Sorry, ale Vy mate povolene napr. porty 137-9 ? A to mate cistou
> (NonWhoKnows) sit ? Pokud ano, pak Vam zavidim.
Proč ne? To, co dělá ten šílený chaos, jsou UDP broadcasty na portech
137 a 138, ty se ven ze segmentu stejně nedostanou. TCP komunikace na
portu 139 nevzniká "sama od sebe", pro tu už platí stejná pravidla jako
pro jakýkoli jiný provoz.
> Ja osobne povazuji za podstatne vyhodnejsi povolit ven jen _nektere_
> porty, ostatni logovat a pak (na zaklade tech logu ciniti akce. Dost
> jsem se divil, co vsechno (z WhoKnows stroju :-) a kudy se dobyva ven.
> Nakonec jsme to vyresili tak, ze vsichni chodi pouze na jediny stroj
> (proxy) a pouze ten (a pouze _nekterymi_ porty) smi jit ven.
Takové opatření má dobrý smysl, i když to přináší určité negativní
důsledky. Co ale IMHO nemá smysl, je blokovat jakoukoli komunikaci
zevnitř ven z důvodu ochrany proti spyware a spol. a přitom povolit
přímou TCP komunikaci ven na port 80 - protože to je to první, za co se
bude jakýkoli spyware maskovat. Přesně na to jsem upozorňoval ve svém
minulém příspěvku.
Michal Kubeček
Další informace o konferenci Linux