Nastaveni firewalu
Roman Neuhauser
neuhauser at bellavista.cz
Tue Jun 10 11:33:51 CEST 2003
# zhouska at cz.foxconn.com / 2003-06-09 12:36:05 +0200:
> tak se mi podarilo zprovoynit ten ipfilter...ale zajima mne jak
> zprovoznit provoz ven tak abych mohl pouzit webovy prohlizec.
> Neco jako
>
> pass in quick proto tcp from any to any port = 80
>
> Toto nastaveni palti ocvovidne jenom pro apache...Takze jsou nejaka
> standardizovana cisla portu pro webove prohlizece? Tez jsem zkousel
> stahovat pres web neco z inetu a pres sockstat jsem zjistil, ze na
> lokalu pouzivam ruzne porty:
>
> root lynx 50468 3 tcp4 10.17.194.108:51645 195.113.19.84:80
>
> ale mam pocit, ze ty porty se meni...
>
> jake navrhujete reseni?
premyslet, premyslet, premyslet!
k tomuhle threadu mam par pripominek:
1. psat do support requestu, ze mate v konfiguraci "neco jako" je
neslusne plytvani cizimi zdroji. kdybyste to pravidlo vpastil hned
do prvniho mailu, bylo by evidentni, ze to "pass in" nemyslite
"jako".
2. k tomu premysleni:
2.1 kdyz je server (se znamym portem tcp/80) *venku*, nepotrebujete
v ipf.rules "pass in". rekl bych, ze je to celkem logicke.
2.2 preklad jmen nema s HTTP provozem nic spolecneho, nicmene
prislusna pravidla jsme nevideli.
3. "pass out quick all keep state" je pohodlne, ale uvedomte si, ze
misto reseni problemu jste ho zametl pod koberec.
4. ke spousteni ipf(8) pri startu systemu: vy jste do ted opravdu
nevedel o /etc/rc.conf?
5. doporucuju precist si neco malo o fungovani TCP/IP (co jsou to
ephemeral porty atp), usetrite si tim mnoho bezesnych noci a
ctenarum tohoto ml energii, kterou by jinak mohli venovat reseni
zajimavejsich problemu, treba i vasich.
6. tohle vypada jako flamebait, ale je to jenom vyjadreni litosti
nad zmarenymi zdroji, tak to tak prosim berte.
--
If you cc me or remove the list(s) completely I'll most likely ignore
your message. see http://www.eyrie.org./~eagle/faqs/questions.html
More information about the Users-l
mailing list