URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 51787
[ Назад ]
Исходное сообщение
"ipfw: Как правильно разрешить доступ к web"
Отправлено Nerian , 21-Дек-04 12:48
Всем привет, решил обесобаситься и оставить только один web фаерволом, делаю это так:
allow tcp from any to any 80
allow tcp from any 80 to any
Но возникает сразу две проблемы (на мой взгляд)
во первых это то что к моему серверу получат доступ на 80 порт,
но это не сушественно ведь всегда можно сделать:
deny tcp from any to my_ip 80
И вторая проблемма ведь что если придёт какой нибудь злобный пакет с 80 порта удалённой машины, по текущем правилам он сможет приконектиться на любой порт! вот такие вот дела.
Раньше использовал
check-state
allow tcp from my_ip to any 80 keep-state
Но ведь это не совсем удобно. Какие у кого мысли?
более безопасно в принципе и это:
allow tcp from my_ip to any 80
allow tcp from any 80 to my_ip
но всё равно на любой мой порт смогут прислать пакет если постараються?
Что делать? или я просто параноик?
Содержание
- ipfw: Как правильно разрешить доступ к web,a Clockwork Orange, 12:59 , 21-Дек-04
Сообщения в этом обсуждении
"ipfw: Как правильно разрешить доступ к web"
Отправлено a Clockwork Orange , 21-Дек-04 12:59
allow tcp from my_ip 1023-65535 to any 80 setup
allow tcp from any 80 to my_ip 1023-65535 established