Nastaveni firewalu

[Roman Neuhauser]

# zhouska at cz.foxconn.com / 2003-06-09 12:36:05 +0200:
>   tak se mi podarilo zprovoynit ten ipfilter...ale zajima mne jak
>   zprovoznit provoz ven tak abych mohl pouzit webovy prohlizec.
>   Neco jako
> 
>   pass in quick proto tcp from any to any port = 80
> 
> Toto nastaveni palti ocvovidne jenom pro apache...Takze jsou nejaka
> standardizovana cisla portu pro webove prohlizece? Tez jsem zkousel
> stahovat pres web neco z inetu a pres sockstat jsem zjistil, ze na
> lokalu pouzivam ruzne porty:
> 
> root     lynx       50468 3  tcp4   10.17.194.108:51645   195.113.19.84:80
> 
> ale mam pocit, ze ty porty se meni...
> 
> jake navrhujete reseni?

    premyslet, premyslet, premyslet!

    k tomuhle threadu mam par pripominek:

    1. psat do support requestu, ze mate v konfiguraci "neco jako" je
    neslusne plytvani cizimi zdroji. kdybyste to pravidlo vpastil hned
    do prvniho mailu, bylo by evidentni, ze to "pass in" nemyslite
    "jako".

    2. k tomu premysleni:
    
    2.1 kdyz je server (se znamym portem tcp/80) *venku*, nepotrebujete
    v ipf.rules "pass in". rekl bych, ze je to celkem logicke.

    2.2 preklad jmen nema s HTTP provozem nic spolecneho, nicmene
    prislusna pravidla jsme nevideli.
    
    3. "pass out quick all keep state" je pohodlne, ale uvedomte si, ze
    misto reseni problemu jste ho zametl pod koberec.

    4. ke spousteni ipf(8) pri startu systemu: vy jste do ted opravdu
    nevedel o /etc/rc.conf?

    5. doporucuju precist si neco malo o fungovani TCP/IP (co jsou to
    ephemeral porty atp), usetrite si tim mnoho bezesnych noci a
    ctenarum tohoto ml energii, kterou by jinak mohli venovat reseni
    zajimavejsich problemu, treba i vasich.

    6. tohle vypada jako flamebait, ale je to jenom vyjadreni litosti
    nad zmarenymi zdroji, tak to tak prosim berte.

-- 
If you cc me or remove the list(s) completely I'll most likely ignore
your message.    see http://www.eyrie.org./~eagle/faqs/questions.html