URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1340
[ Назад ]

Исходное сообщение
"Нужно ли от части повторно прописывать deny - правила"
Отправлено deMan , 07-Май-04 11:39

Привет
Вот постала перед мной задача написать firewall на FreeBSD
Прописал deny по дефолту. Подскажите пожалуста нужно ли от части повторно прописывать deny - правила например для пакетов у которих прописано что они происходят от нашей сетки когда они пришли извне и.т.д.
На первый взгляд ето дубляж - много правил медленей работа, или ето токо на первый взгляд, я про дубляж.
Зарание благодарен.

Содержание

Нужно ли от части повторно прописывать deny - правила,dev, 14:33 , 07-Май-04
- Нужно ли от части повторно прописывать deny - правила,deMan, 18:09 , 07-Май-04
- Нужно ли от части повторно прописывать deny - правила,brahmann, 10:31 , 21-Май-04
  - Нужно ли от части повторно прописывать deny - правила,DENNN, 10:40 , 21-Май-04

Сообщения в этом обсуждении

"Нужно ли от части повторно прописывать deny - правила"
Отправлено dev , 07-Май-04 14:33

Срабатывает первое подошедшее правило. Поэтому если ты разрешаешь своей сетке чего-нибудь особенное (например, обращение к некоторому сервису), то ты обязан до этого убедиться, что это действительно твоя сетка. Самый надежный путь - поставить deny для пакетов с обратным адресом твоей сетки, но пришедших с внешнего интерфейса.
Вообще лучше первыми же правилами убить все заведомо вредные пакеты.

"Нужно ли от части повторно прописывать deny - правила"
Отправлено deMan , 07-Май-04 18:09

>Срабатывает первое подошедшее правило. Поэтому если ты разрешаешь своей сетке чего-нибудь особенное
>(например, обращение к некоторому сервису), то ты обязан до этого убедиться,
>что это действительно твоя сетка. Самый надежный путь - поставить deny
>для пакетов с обратным адресом твоей сетки, но пришедших с внешнего
>интерфейса.
Это правило для примера я имел ввиду что пакет соответствуючий этому правилу соответствует и правилу по дефолту побиш дубль правил
>Вообще лучше первыми же правилами убить все заведомо вредные пакеты.
А с такой позичыей я согласен.

"Нужно ли от части повторно прописывать deny - правила"
Отправлено brahmann , 21-Май-04 10:31

>Вообще лучше первыми же правилами убить все заведомо вредные пакеты.
Здраствуйте, позвольте не согласится, потому как на каждое правило есть его время на обработку... мое мнение - сначала разрешить все что можно(чтобы что надо не тормозилось на обработке), а потом убивать все то что вредное... хотя немогу не согласится, что при критичности к безопасности лутше будет сначала все убить лишнее и плохое, тут похоже выбор будет обусловлен скоростью канала, и требованием безопасности...
ну сами посудите :) в банке же не будете все подряд пускать :) а для фирмы где только и работает что мускль да веб :) не будете на канале 64кбит/с обезопашивать так что скорость в половину погаснет :) думаю нет ...
wbr, brahmann

"Нужно ли от части повторно прописывать deny - правила"
Отправлено DENNN , 21-Май-04 10:40

>что надо не тормозилось на обработке), а потом убивать все то
> не будете на канале 64кбит/с обезопашивать так
>что скорость в половину погаснет :) думаю нет ...
Это как же надо извращенно написать правила, чтоб скорость в половину упала?
даже при канале в 10M/bit величина задержки будет незаметна по сравнению со скоростью прохождения пакета до "ближайшего" российского сайта.