firewall a HTTP VYRESENO

[Vlastimil Kupsky]

Takze abych to nejak uzavrel. Pokud budu chtit, aby uzivatelum fungovaly
vsechny webove stranky
bez ohledu na jakem portu bezi, musim:

- povolit vsechny odchozi TCP pakety

nebo

- sledovat log squida a postupne povolovat TCP spojeni na server:port, ktery
squid chce
  otevrit a nemuze

nebo

- cekat na uzivatele az prijdou, ze se jim nedari otevrit danou webovou
stranku a podle toho povolit
  odchozi TCP spojeni na dany server:port


Jeste bych podotkl - nemyslim si, ze by bylo vhodne povolit vsechny odchozi
pakety jen tak.
Prece jen muze existovat spousta programu, ktere (at uz to uzivatel vi nebo
ne) se snazi nejak
komunikovat ven. A abych o tom mel jako spravce alespon trochu prehled, tak
si myslim, ze
je lepsi videt v logu nejaky zaznam o pokusu jit ven. Potom zjistim, ma-li
tento pokus nejaky
opravneny duvod. V tomto bode je mozne aplikovat nejake firemni smernice,
kde se rekne, zda-li
je to duvod opravneny nebo ne. Pokud ano, povolim dane odchozi spojeni s
tim, ze vim co jsem
povolil a mam prehled o tom co z me site odchazi.

To je asi tak vsechno.

Dekuji za Vase reakce

-----------
Vlastimil Kupsky
kupsky.v na pbsvb.cz