Условия
1. есть диапазон выделенный провайдером с маской .248
2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и 3й незадействован
3. есть веб сервер под вин 2003, которому очень надо смотреть наружу своей внешней карточкой.
Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся через внешний интерфейс, на нем должно быть видно с каких внешних адресов к нему стучатся. спасибо за советы)
хм ... хотел было сказать - перебрасывай трифик средствами nat
, но наверное скажу вот так :бери у прова еще одну сетку - вешай ее на 3-ий ифейс и рули своей DMZ как бог на душу положит....
> бери у прова еще одну сетку - вешай ее на 3-ий
>ифейс и рули своей DMZ как бог на душу положит....А зачем еще то одну? И .248(/29) прекрасно бъется на две по .252(/30)
>> бери у прова еще одну сетку - вешай ее на 3-ий
>>ифейс и рули своей DMZ как бог на душу положит....
>
>А зачем еще то одну? И .248(/29) прекрасно бъется на две по
>.252(/30)
а можно подробнее об этом, я тоже пришел к этому, но пока не ясно, как это все будет работать, в принципе для меня реально разбить 248 на 2 с маской 252 (в первой 2 ип, один из которых шлюз прова, второй мой шлюз, во второй 2 ип, один из которых адрес 3-го ифейса шлюза а второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к 3-му интерфейсу шлюза.
>>> бери у прова еще одну сетку - вешай ее на 3-ий
>>>ифейс и рули своей DMZ как бог на душу положит....
>>
>>А зачем еще то одну? И .248(/29) прекрасно бъется на две по
>>.252(/30)
>
>
>а можно подробнее об этом, я тоже пришел к этому, но пока
>не ясно, как это все будет работать, в принципе для меня
>реально разбить 248 на 2 с маской 252 (в первой
>2 ип, один из которых шлюз прова, второй мой шлюз, во
>второй 2 ип, один из которых адрес 3-го ифейса шлюза а
>второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к
>3-му интерфейсу шлюза.
Как-как. Обычно как. На стороне роутера провадера будет прописан роутинг на всю .248 сетку в вашу сторону. А вы-то у себя можете дальше рулить как Бог на душу положит.
в том то и дело что не получилось без использования iptables пока так сделать, не видно снаружи веб сервака.
вот и спрашиваю подробнее
> Как-как. Обычно как. На стороне роутера провадера будет прописан роутинг на всю .248 сетку в вашу сторону. А вы-то у себя можете дальше рулить как Бог на душу положит.хм... не скажу с точки зрения RFC, НО IMHO, без записей в таблице маршрутизации у прова не обойтись -> бить сетку никакого практического смысла не имеет.
И потом лишние IP не помешают.Короче я не знаю как в Линухе ЭТО будет выгдледить в деталях , но грубо говоря тебе придется
1) ПОДНЯТЬ МОСТ
2) в нат отправлять ТОЛЬКО серую сетку
3) фаерволом разрешить только www & dns
4) остальное по желанию....
>второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к
>3-му интерфейсу шлюза.и не увидит сервок прова будет адресовать .248
ну а как мост нарулить без особого гемора?
Ну а зачем мост-то?
1. Чем не подходит редирект натом?
2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное настройки чтоб правильные были.
>Ну а зачем мост-то?
>1. Чем не подходит редирект натом?
>2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб
>сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное
>настройки чтоб правильные были.
как я понимаю редирект (iptables -j REDIRECT) позволяет перекинутьс одного порта на другой, непонятно как это применить.если вы имеете ввиду просто прокинуть 80 порт с помощью ната, то это не подходит, нужен реальный ип на веб-серваке
короче , склифасовский - те нужно просто включить маршрутизацию (где какую галочку нажать в linux я те не скажу...) и усе - мост готов...;)))нат те не подойдет по причине замены ip ... ты будешь "как бы" получать запросы от своего сервака....
есть еще така прога redir (може она токма под FreeBSD) вот она ip не меняет ... но у тя linux - ты сам себе выбрал сей гемор.... ;)
>>Ну а зачем мост-то?
>>1. Чем не подходит редирект натом?
>>2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб
>>сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное
>>настройки чтоб правильные были.
>
>
>как я понимаю редирект (iptables -j REDIRECT) позволяет перекинутьс одного порта на
>другой, непонятно как это применить.
>
>если вы имеете ввиду просто прокинуть 80 порт с помощью ната, то
>это не подходит, нужен реальный ип на веб-сервакея не знаю как это выглядит в iptables, могу сказать как в ipnat на фрях:
rdr "IP шлюза" port 80 -> "IP web server" port 80
В данном случае поля тех пакетоы, в которых destanation IP и destanation port совпадают с левой частью будут перезаписаны на правую часть. всё остальное не трогается. Другими словами web сервер будет получать нормальные пакеты, так как будто он стоит снаружи.
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>
Все кричат, кричат.
Все можно сделать вообще не просто, а очень просто.
Средствами Апача.
В конфиге апача указываем# VirtualHost www.типасервер.com
#
<VirtualHost IPАДРЕС>
ServerAdmin адмиy@типаcервер.com
ServerName www.типасервер.com
ServerAlias *типасервер.com
ProxyPass / http://192.168.1.1??/ # Тута твой внутренний адрес (или в мозамбике)
ProxyPassReverse / http://192.168.1.1??/ # Он же
ErrorLog /???/типасервер-error_log
CustomLog /???/типасервер-access_log common</VirtualHost>
Можете высказывать свои замечания. Вся секюрити на стороне линухового
сервера.
Делается за 30 секунд методом копирования в http.confНу а дальше рестарт. и тихо радуемся.
Для желающих читать маны про апач.
Всеобщий привет!
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>Да не страдайте вы все фигней! Мост, херост...
ifconfig eth0 x.x.x.2 netmask 255.255.255.252
ifconfig eth1 192.168.1.x netmask 255.255.255.0
ifconfig eth3 x.x.x.5 netmask 255.255.255.252далее, веб-сервер кросовером воткнут в eth3 и имеет
ifconfig eth0 x.x.x.6 netmask 255.255.255.252со стороны провайдер имеем
route add x.x.x.0 mask 255.255.255.248 x.x.x.1ВСЕ!!!!! Больше ничего не надо. ну, кроме echo 1 > /proc/net/ip_forward на линукс-роутере у вас. и НАТ-а для серой сети.
>
>Да не страдайте вы все фигней! Мост, херост...
>
>ifconfig eth0 x.x.x.2 netmask 255.255.255.252
>ifconfig eth1 192.168.1.x netmask 255.255.255.0
>ifconfig eth3 x.x.x.5 netmask 255.255.255.252
>
>далее, веб-сервер кросовером воткнут в eth3 и имеет
>ifconfig eth0 x.x.x.6 netmask 255.255.255.252
>
>со стороны провайдер имеем
>route add x.x.x.0 mask 255.255.255.248 x.x.x.1
>
>ВСЕ!!!!! Больше ничего не надо. ну, кроме echo 1 > /proc/net/ip_forward на линукс-роутере у вас. и НАТ-а для серой сети.
да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на x.x.x.6, авот если ему прописать
route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок, но это пока невозможно
>да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на
>x.x.x.6, авот если ему прописать
>route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок,
>но это пока невозможноПОКАЖИТЕ МНЕ ЭТОГО ПРОВА!!!! У него там студенты что-ли работают???
Так быть не должно. ваш пров должен весь выделеный вам диапазон роутить на вас или на интерфейс в вашу сторону.
>да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на
>x.x.x.6, авот если ему прописать
>route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок,
>но это пока невозможноНу как так не работает? значит не полностью следовали инструкции. Все исключительно правильно. А коль не работает -- ifconfig ваш в студию. И, желательно, прововский route -n (sh routes) покажите. И ваш iptables -Ln
>Ну как так не работает? значит не полностью следовали инструкции. Все исключительно
>правильно. А коль не работает -- ifconfig ваш в студию. И,
>желательно, прововский route -n (sh routes) покажите. И ваш iptables -LnНу, наконец-то хоть один вменяемый человек появился!
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>
rinetd
>Ну, наконец-то хоть один вменяемый человек появился!хм. в обучение IT важно получить правильное направление,ведь важен личный опыт, а не работа с "буфером обмена" ;)))
IMHO тебе было дано ... и не одно ... любое из предлженных решений СПОСОБНО решить твою задачу ...
+Еще можно добавит squid http_acclА ТЫ ЗАСРАНЕЦ ДОБРА НЕ ВИДЕШЬ! ;(((
>А ТЫ ЗАСРАНЕЦ ДОБРА НЕ ВИДЕШЬ! ;(((Простите, это мне??? Если да --- то перечтите тред с начала.
КОРОЧЕ , все предложенные решения задачи кроме моста и наруления рутера провайдера сводятся к банальному iptables -t nat -A PREROUTING -p tcp -d 63.118.90.84 --dport 80 -j DNAT --to 192.168.1.5:80НО это не подходит по причинам описанным выше, то что можно накрутить рутер провайдера это понятно и возможно я добъюсь от них этого, насчет моста - просто связываться лень (на отдельной машмне бы попробовал но не на работающем шлюзе).
Всем спасибо. Удачи.
>КОРОЧЕ , все предложенные решения задачи кроме моста и наруления рутера провайдера
>сводятся к банальному iptables -t nat -A PREROUTING -p tcp -d
>63.118.90.84 --dport 80 -j DNAT --to 192.168.1.5:80
>
>НО это не подходит по причинам описанным выше, то что можно накрутить
>рутер провайдера это понятно и возможно я добъюсь от них этого,
>насчет моста - просто связываться лень (на отдельной машмне бы
>попробовал но не на работающем шлюзе).
>
>Всем спасибо. Удачи.Чем тебе не нравится способ с битием подсетки /29 на две по /30 ?
Есть правда один ньюанс (подразумеваем что тебе дается Ethernet):
т.к. у прова прописана подсетка /29, то он и будет кидать тебе все пакеты которые тебе предназначены, если сможет отрезолвить MAC-адрес(!). А узнать MAC твоего www он не сможет, т.к. никто ему не ответит. Во FreeBSD это решается установкой sysctl net.link.ether.inet.proxyall=1. Т.е. приходит 'arp who-has' от прова, твой Linux его хватает, переправляет МАС отпавителя на свой и раскидывает по интерфейсам. www посылает 'arp reply' твоему Linux который (переправляя МАС на свой) отправляет его прову, дальше уже пров начинает посылать IP-пакеты непосредственно с целевым МАС твоего Linux который их маршрутизирует...Короче: ищи аналог net.link.ether.inet.proxyall в линухе
arp -i eth0 -Ds 63.118.90.86 eth2
спасло гиганта мысли !!!спасибо.
>arp -i eth0 -Ds 63.118.90.86 eth2Как мне кажется в такой конфигурации твой провайдер будет считать broadcast за трафик... Или у тебя есть средства контроля за arp ??? подскажи ..
Вообще решение очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера компании... без изменения топологии сети ...
Кто нить использует arp proxy в этих целях ??? Есть впечатления от
работы с этой технологией ???
>Кто нить использует arp proxy в этих целях ???Предупреждение: нижесказаное IMHO
Я бы за использование arp-proxy руки-ноги-головы бы отрывал.
>Я бы за использование arp-proxy руки-ноги-головы бы отрывал.Расскажи причины своего недовольства ..., как мне кажется используя данную технологию можно собрать Switch Layer III
p.s. BSD - вот на что готов пойти человек , что бы не покупать Cisco ;)
>>arp -i eth0 -Ds 63.118.90.86 eth2
>
> Как мне кажется
>в такой конфигурации твой провайдер будет считать broadcast за трафик... Иличестно говоря мне наплевать)
> Вообще решение
>очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера
>компании... без изменения топологии сети ...
> Кто нить
>использует arp proxy в этих целях ??? Есть впечатления от
>работы с этой технологией ???в общем чтоб все работало нормально надо добавить к той строчке что я приводил pub - кто нибудь знает что это такое?
есть один трабл - я надеялся крутить файрволл на iptables в цепочке input, но похоже пакеты приходящие на внутренний сервак не попадают в инпут, приходится крутить все на форварде - кто что посоветует или прояснит?
еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть через внешний интерфейс на адрес второй внешней карточки (если конкретно на ФВ не закрыто), похоже что этот адрес можно юзать снаружи как второй адрес внешней карточки.
>>>arp -i eth0 -Ds 63.118.90.86 eth2
>>
>> Как мне кажется
>>в такой конфигурации твой провайдер будет считать broadcast за трафик... Или
>
>честно говоря мне наплевать)
>
>
>> Вообще решение
>>очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера
>>компании... без изменения топологии сети ...
>> Кто нить
>>использует arp proxy в этих целях ??? Есть впечатления от
>>работы с этой технологией ???
>
>в общем чтоб все работало нормально надо добавить к той строчке что
>я приводил pub - кто нибудь знает что это такое?
>
>
>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>инпут, приходится крутить все на форварде - кто что посоветует или
>прояснит?
>еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть
>через внешний интерфейс на адрес второй внешней карточки (если конкретно на
>ФВ не закрыто), похоже что этот адрес можно юзать снаружи как
>второй адрес внешней карточки.
>
Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже изобрели, и оно достаточно круглое !
http://www.boutell.com/rinetd/
>Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже
>изобрели, и оно достаточно круглое !
>http://www.boutell.com/rinetd/прочти месагу 1 и 22-ю, мне не нужно пробрасывание трафика на внутренний сервер (таких способов несколько в том числе и ринетд) мне надо чтоб сервак был снаружи но чтобы перед ним стоял прозрачно линуксовый файрволл.
>>Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже
>>изобрели, и оно достаточно круглое !
>>http://www.boutell.com/rinetd/
>
>прочти месагу 1 и 22-ю, мне не нужно пробрасывание трафика на внутренний
>сервер (таких способов несколько в том числе и ринетд) мне надо
>чтоб сервак был снаружи но чтобы перед ним стоял прозрачно линуксовый
>файрволл.
Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно. Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так, как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый файрволл" поподробнее, я всегда считал что файрвол либо есть либо его нет.
Надеюсь, не стоит Вам объяснять, что такое DMZ?
>Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции
>к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит
>трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно.
>Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так,
>как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый
>файрволл" поподробнее, я всегда считал что файрвол либо есть либо его
>нет.То же самое делает и iptables (cм строчку выше), но это не подходит так как по ряду причин у веб-сервака должен быть внешний реальный айпишник.
>
>>Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции
>>к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит
>>трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно.
>>Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так,
>>как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый
>>файрволл" поподробнее, я всегда считал что файрвол либо есть либо его
>>нет.
>
>То же самое делает и iptables (cм строчку выше), но это не
>подходит так как по ряду причин у веб-сервака должен быть внешний
>реальный айпишник.
Так и будет у твоего "веб-сервака" внешний реальный айпишник. Похоже ты сам не знаеш что тебе надо ...
>Так и будет у твоего "веб-сервака" внешний реальный айпишник. Похоже ты сам
>не знаеш что тебе надо ...
нихрена подобного. в варианте rinetd он будет
listen 192.168...
а надо -- listen реальный ИП
надо уж закрыть эту тему ... а то Вопрос такой , что каждый старается ответить ... ;)))
>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>инпут, приходится крутить все на форварде - кто что посоветует или
>прояснит?
INPUT - это то, что приходит непосредственно на сам Фиреволл.
FORWARD - это то, что через него проходит.
>еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть
>через внешний интерфейс на адрес второй внешней карточки (если конкретно на
>ФВ не закрыто), похоже что этот адрес можно юзать снаружи как
>второй адрес внешней карточки.
>
Теоретически мы бессмертны, практически - бессмертны единицы. На то и фиреволл, чтоб овцы были сыты и волки целы, а пастух целый день пил пиво. Иного назначения для фиреволла, пожалуй, не найдется.
>>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>>инпут, приходится крутить все на форварде - кто что посоветует или
>>прояснит?
>INPUT - это то, что приходит непосредственно на сам Фиреволл.
>FORWARD - это то, что через него проходит.да это понятно, но я ожидал что на инпуте eth2 (тот что в дмз светит своим задом) можно будет ограничивать вход на внутренний сервак - ан нет, получилось что только на форварде можно рулить
>да это понятно, но я ожидал что на инпуте eth2 (тот что
>в дмз светит своим задом) можно будет ограничивать вход на внутренний
>сервак - ан нет, получилось что только на форварде можно рулить
>
Увы. Дока неумолимо говорит об обратном.
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>
Что мешает тебе сделать как-нибудь так:
Linux: ifconfig eth3 x.x.x.3 netmask 255.255.255.248Windows: прописываешь адрес интерфейса(на сетевой карте) x.x.x.4
маршрут по умолчанию x.x.x.3Linux:
iptables -A FORWARD -s 0.0.0.0/0 -d x.x.x.3 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 0.0.0.0/0 -s x.x.x.3 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -d x.x.x.3 -j DROP
iptables -A FORWARD -d 0.0.0.0/0 -s x.x.x.3 -j DROP
ну попробуй 2 интерфейса на линухе из одной подсети настроить
с маршрутизацией между ними))для этого и разбили подсетку 29 на 2 30
>ну попробуй 2 интерфейса на линухе из одной подсети настроить
>с маршрутизацией между ними))
>
route add -host x.x.x.4(или как там твой мастдай зовется) dev eth3(или что там у тебя на мастдай смотрит)
по-моему так.
>для этого и разбили подсетку 29 на 2 30
И поднялась рука?
подними такое на VM - получится скажешь)
>подними такое на VM - получится скажешь)Есть вариант еще проще, но это, разумеется, не так секьюрно:
ставишь хаб/свитч, куда втыкаешь
а) eth от прова
б) eth от мегароутера
в) eth от мегавебсервера
Это, конечно, если у тебя от прова Ethernet(У меня сделано по такой схеме, токо там не вебсервера)Втыкнувши свой мегавебсервер в локалку, даешь ему реалный ип, шлюзом говоришь eth0 твоего мегароутера. Наслаждаешься.
Ну и, естественно, iptables по вкусу.Можно еще поглядеть в сторону TCP-mapping. Что тоже достигается при помощи могучего иптаблеса.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>неясно как это поможет безопасности машины под виндой, порты и в windows закрыть можно, и нахождение за *nix роутером ничем не поможет, если будут ломать, то через законно открытый 80 порт.
так что не в ту сторону роете.
>неясно как это поможет безопасности машины под виндой, порты и в windows
>закрыть можно, и нахождение за *nix роутером ничем не поможет, если
>будут ломать, то через законно открытый 80 порт.
>
>так что не в ту сторону роете.для кого то нет разницы стоит винда с исой и смотрит наружу или линух с нормальным фв, а для кого то есть-)
кому то может ваще нравятся дыры глюки винды, а мне нет)
>для кого то нет разницы стоит винда с исой и смотрит наружу
>или линух с нормальным фв, а для кого то есть-)
>кому то может ваще нравятся дыры глюки винды, а мне нет)
вроде автор спросил как обезопасить хост под win2003,
т.е. вопрос смены IIS на апач/*nix не обсуждается(может там .asp крутятся-кто их переписывать будет?)и какой бы ВЫ, eugene33, не поставили бы "фв" он ни на грам
НЕ МОПОЖЕТ защититься от атаки, ориентированной на сервис HTTP.
Повторюсь, закрывать порты умеют даже персональные файрволы под win95,
и никаких приемуществ у iptables в этом отношнении нет(ну есть конечно некие бонусы в виде --reject-with tcp-reset например)