Upgrade programu z portu

[Miroslav Prýmek]

On 4.3.2009, at 7:23, Dan Lukes wrote:

> Miroslav Prýmek napsal/wrote, On 03/04/09 06:57:
>>>> Promin, psal jsem to moc zkratkovite - mel jsem namysli situaci,  
>>>> kdy druhy stroj je "na druhe strane Internetu"
>>>> -- tj. za dvouma firewallama atd. Tim "nfs/vpn" jsem myslel "NFS  
>>>> prez VPN prez Internet"
>>>
>>> NFS server je server. Automaticky predpokladam, ze ten ma plne  
>>> pripojeni k Internetu.
>
>> V praxi je "plne pripojeni" spis DMZ, ktera je taky za nejakym  
>> firewallem, ne?
>
> Ten firewall je muj. To, jestli je tu on pro me a bude propoustet to  
> co potrebuju, nebo ja jsem tu pro nej a budu prizpusobovat svoje  
> veci tomu, co on mi laskave dovoli, to jsme si navzajem vyjasnili uz  
> davno ;-)


Tak to ti zavidim, ja po nem obcas neco chci a on tvrdosine trva na  
svem :)

BTW, kdyz uz jsme u toho, zlobi me treba ipfw s jednou veci:
mam X pravidel s "setup keep-state" a predposledni pravidlo by melo  
byt (muze byt) podle handbooku
deny tcp from any to any established
cili "zahodit vsechno, co se tvari jako established ale pritom se  
nenamatchovalo na check-state"

No ale ma to tu (docela blbou) nevyhodu, ze pri restartu firewallu se  
vyhazou pravidla
a timpadem vsechna existujici spojeni spadnou prave diky tomu predtim  
popsanymu
pravidlu, protoze se nenamatchuji a zaroven jsou established.

Tak si rikam, co je vetsi zlo - jestli to pravidlo zmenit z "deny" na  
"allow" (hodne firewallu
na linuxu se tak dela, tak co?) a nebo radsi pocitat s tim, ze restart  
firewallu umrtvi existujici spojeni

?

Mirek