firewall a HTTP

Chlopcik Ales chlopcik na vojnem-plzen.cz
Čtvrtek Srpen 5 07:53:24 CEST 2004


Michal Kubecek wrote:
> 
> On Thu, Aug 05, 2004 at 02:19:42AM +0200, Chlopcik Ales wrote:
> >
> >       Sorry, ale Vy mate povolene napr. porty 137-9 ? A to mate cistou
> > (NonWhoKnows) sit ? Pokud ano, pak Vam zavidim.
> 
> Proč ne? To, co dělá ten šílený chaos, jsou UDP broadcasty na portech
> 137 a 138, ty se ven ze segmentu stejně nedostanou. TCP komunikace na
> portu 139 nevzniká "sama od sebe", pro tu už platí stejná pravidla jako
> pro jakýkoli jiný provoz.
> 

	Pokud NATujete jen _nektere_ porty (coz je IMHO totez, ale nevim jak na
to), pak TO jste uz nenapsal. Pokud vsechny, pak se i UDP vesele siri
siti dal a mozna by se na ne mohlo i navazat otevreni spojeni
_jakoby_zevnitr_ (ale tady si jist nejsem /nonGURU/). No a v ramcim
_moja_paranoia_, pokud si nejsem jist, tak radsi resim.


> >       Ja osobne povazuji za podstatne vyhodnejsi povolit ven jen _nektere_
> > porty, ostatni logovat a pak (na zaklade tech logu ciniti akce. Dost
> > jsem se divil, co vsechno (z WhoKnows stroju :-) a kudy se dobyva ven.
> 
> > Nakonec jsme to vyresili tak, ze vsichni chodi pouze na jediny stroj
> > (proxy) a pouze ten (a pouze _nekterymi_ porty) smi jit ven.
> 
> Takové opatření má dobrý smysl, i když to přináší určité negativní
> důsledky.

	Jediny negativni dusledek (s kterym se obcas potykam) je, ze musim
explicitne (a presne) vyjmenovat vyjimky. Neco mi uniklo ?

> Co ale IMHO nemá smysl, je blokovat jakoukoli komunikaci
> zevnitř ven z důvodu ochrany proti spyware a spol. a přitom povolit
> přímou TCP komunikaci ven na port 80 - protože to je to první, za co se
> bude jakýkoli spyware maskovat. Přesně na to jsem upozorňoval ve svém
> minulém příspěvku.

	To pripoustim/S tim bych i souhlasil.

> 
>                                                           Michal Kubeček

	Ales


Další informace o konferenci Linux