firewall a HTTP VYRESENO
Vlastimil Kupsky
kupsky.v na pbsvb.cz
Pátek Srpen 6 11:01:35 CEST 2004
Takze abych to nejak uzavrel. Pokud budu chtit, aby uzivatelum fungovaly
vsechny webove stranky
bez ohledu na jakem portu bezi, musim:
- povolit vsechny odchozi TCP pakety
nebo
- sledovat log squida a postupne povolovat TCP spojeni na server:port, ktery
squid chce
otevrit a nemuze
nebo
- cekat na uzivatele az prijdou, ze se jim nedari otevrit danou webovou
stranku a podle toho povolit
odchozi TCP spojeni na dany server:port
Jeste bych podotkl - nemyslim si, ze by bylo vhodne povolit vsechny odchozi
pakety jen tak.
Prece jen muze existovat spousta programu, ktere (at uz to uzivatel vi nebo
ne) se snazi nejak
komunikovat ven. A abych o tom mel jako spravce alespon trochu prehled, tak
si myslim, ze
je lepsi videt v logu nejaky zaznam o pokusu jit ven. Potom zjistim, ma-li
tento pokus nejaky
opravneny duvod. V tomto bode je mozne aplikovat nejake firemni smernice,
kde se rekne, zda-li
je to duvod opravneny nebo ne. Pokud ano, povolim dane odchozi spojeni s
tim, ze vim co jsem
povolil a mam prehled o tom co z me site odchazi.
To je asi tak vsechno.
Dekuji za Vase reakce
-----------
Vlastimil Kupsky
kupsky.v na pbsvb.cz
Další informace o konferenci Linux