nastaveni firewallu

Dan Lukes dan at obluda.cz
Mon Jul 14 10:57:47 CEST 2008


Roman Pavlik napsal/wrote, On 07/14/08 10:21:
>> >> 	Co se ICMP tyce, doporucuju ti zakazovat jen to, o cem si jsi rozumne 
>> >> jistej, ze to fakt neni pro bezny provoz potreba, jinak si muzes 
>> 
>> > Uz leta ziju v interni
>> > siti bez ICMP, ktere povazuji za uzitecne pri diagnostice
>> > lokalni pripojky, ale ze by mi to nejak zasadne pomohlo pri
>> > diagnostice TCP/UDP spojeni? 
>> 
>> 	Ja tady nemluvim diagnostice ale o elementarnim fungovani

> Muj lokalni pocitac to nezajima, protoze je za aplikacnim firewallem.

	No, u pocitace, ktery v zasade IP konektivitu vubec nema by ta diskuse 
byla samozrejme zcela o necem jinem. K takovemu pocitaci neprochazi 
zadne IP pakety ze sveta ani z nej zadne IP pakety do sveta neodchazeji 
a tudiz neni duvod pro ICMP delat jakoukoliv vyjimku. Takovy pocitac 
komunikuje (na IP urovni, o ktere se bavime) vyhradne s tou aplikacni 
branou.

> V pripade IP filtru by ale stalo za to rozebrat situace, kdy je to 
> opravdu potreba (a tim padem je nutne na IP filtru povolit ICMP 
> prakticky odkukoliv) a zaroven probrat rizika, ktere jakekoliv 
> ICMP pustene do interni site obnasi.
> 
> Ja jsem v mem mailu chtel hlavne polemizovat s myslenkou postavit 
> si firewall na IP filtru systemem "radeji povolit vic nez min". 

	Uvaha byla jednoducha (snad se puvodniho tazatele vysvetleni nedotkne) 
- kdyby slo o skutecne zabezpeceni site s realne cennymi daty a/nebo 
provozem, nedelal by ho nekdo, kdo by vubec polozil ten dotaz, ktery 
padnul. Tudiz spis slo o to si pohrat, ale nezlikvidovat si pri tom 
schopnost pracovat (kdyz si zrovna nehraju).

	Pokud se pletu a neslo o "zkusim si to zabezpecit jen tak, co to udela" 
ale o seriozne minenou ochranu, pak byla rada skutecne spatna - spravna 
rada mela znit "nejdriv si nastuduj jak IP funguje nebo to cele sver 
nekomu, kdo veci rozumi".

							Dan



More information about the Users-l mailing list