Здравствуйте
Есть вопрос
Система freebsd7,ipfw (net.link.ether.ipfw=1)
myIP="192.168.0.1"
интернет через ehernet(ip инета статический)
Задача подключаться из локальной сети через шлюз freebsd к серверу в интернет по RDP.
ставлю правило add 111 divert natd all from ${myIP} to ${serverRDP} 3389 MAC ${myMAC} any
на сервере в инете тоже ставлю фильтрацию по IP и MAC.
Так вот стоит ли фильтровать по MAC на сервереRDP ?
где то прочел что MAC не сохраниться после первого же свича (что там у провайдера хз).
Или есть более интересные способы защиты?(кроме vpn)
Хотелось б все-таки защиты достойной на уровне firewall
"после первого же свича" -ошибся, читать "после первого же раутера"
>[оверквотинг удален]
>Есть вопрос
>Система freebsd7,ipfw (net.link.ether.ipfw=1)
>myIP="192.168.0.1"
>интернет через ehernet(ip инета статический)
>Задача подключаться из локальной сети через шлюз freebsd к серверу в интернет
>по RDP.
>ставлю правило add 111 divert natd all from ${myIP} to ${serverRDP} 3389
>MAC ${myMAC} any
>на сервере в инете тоже ставлю фильтрацию по IP и MAC.
>Так вот стоит ли фильтровать по MAC на сервереRDP ?стоит
>где то прочел что MAC не сохраниться после первого же свича (что
>там у провайдера хз).гдето прочел? это вообщето основы - учите матчасть
>Или есть более интересные способы защиты?(кроме vpn)vpn это не фильтрация
>Хотелось б все-таки защиты достойной на уровне firewallдак зафильтруй - divert это не фильтрация - также учите матчасть
>стоит
>>где то прочел что MAC не сохраниться после первого же свича (что
>>там у провайдера хз).
>гдето прочел? это вообщето основы - учите матчасть
>Или есть более интересные способы защиты?(кроме vpn)перефразирую вопрос после прохождения пакета через раутер, MAC остается компа из лок сети или ставитсья MAC раутера?
>>Или есть более интересные способы защиты?(кроме vpn)
>vpn это не фильтрацияvpn указан не как фильтрация, а как одно из средств для безопасного доступа к серверу
>>Хотелось б все-таки защиты достойной на уровне firewall
>дак зафильтруй - divert это не фильтрация - также учите матчастьdivert -это ессно не фильтрация) правила deny я не стал тут писать так как это думаю и так понятно
Есть еще какие то мысли защиты от постороннего доступа на RDPсервер? (шлюзом для него стоит стоит freebsd7)
>>стоит
>>>где то прочел что MAC не сохраниться после первого же свича (что
>>>там у провайдера хз).
>>гдето прочел? это вообщето основы - учите матчасть
>>Или есть более интересные способы защиты?(кроме vpn)
>
>перефразирую вопрос после прохождения пакета через раутер, MAC остается компа из лок
>сети или ставитсья MAC раутера?повторю ответ - учите матчасть, естно нет
>>>Или есть более интересные способы защиты?(кроме vpn)
>>vpn это не фильтрация
>
>vpn указан не как фильтрация, а как одно из средств для безопасного
>доступа к серверувы не совсем понимаете что такое vpn и зачем
>>>Хотелось б все-таки защиты достойной на уровне firewall
>>дак зафильтруй - divert это не фильтрация - также учите матчасть
>
>divert -это ессно не фильтрация) правила deny я не стал тут писать
>так как это думаю и так понятно
>Есть еще какие то мысли защиты от постороннего доступа на RDPсервер? (шлюзом
>для него стоит стоит freebsd7)обрезать кабель - идеальное средство
>>>стоит
>>>>где то прочел что MAC не сохраниться после первого же свича (что
>>>>там у провайдера хз).
>>>гдето прочел? это вообщето основы - учите матчасть
>>>Или есть более интересные способы защиты?(кроме vpn)
>>
>>перефразирую вопрос после прохождения пакета через раутер, MAC остается компа из лок
>>сети или ставитсья MAC раутера?
>
>повторю ответ - учите матчасть, естно нетчто мне делать и что учить это не вам уважемый решать, я задал вопрос, если нет желания -не отвечайте, а писать избитую фразу,аля великий гуру, не стоит.
Могли б просто ответить "нет"
>>>>Или есть более интересные способы защиты?(кроме vpn)
>>>vpn это не фильтрация
>>
>>vpn указан не как фильтрация, а как одно из средств для безопасного
>>доступа к серверу
>
>вы не совсем понимаете что такое vpn и зачемси ап.
к своему счастью знаю
>>>>Хотелось б все-таки защиты достойной на уровне firewall
>>>дак зафильтруй - divert это не фильтрация - также учите матчасть
>>
>>divert -это ессно не фильтрация) правила deny я не стал тут писать
>>так как это думаю и так понятно
>>Есть еще какие то мысли защиты от постороннего доступа на RDPсервер? (шлюзом
>>для него стоит стоит freebsd7)
>
>обрезать кабель - идеальное средствоя не прошу идеального средства,я прошу совета как можно обезопасить RDP сервер от кул(и некулл) хацкеров.
порт для доступа RDP сменил (>-по порту 8000{доступ только с моего ИП} ->freebsd переброс->-порт 3389 на win2k)
Думаю не у меня одного такая потребность,поделитесь кто что делал для реализации.
>что мне делать и что учить это не вам уважемый решать, я
>задал вопрос, если нет желания -не отвечайте, а писать избитую фразу,аля
>великий гуру, не стоит.я за вас ничего не решаю - я лишь хочу сказать что судя по вашим вопросам вы в лучшем случае чайнег
>>что мне делать и что учить это не вам уважемый решать, я
>>задал вопрос, если нет желания -не отвечайте, а писать избитую фразу,аля
>>великий гуру, не стоит.
>
>я за вас ничего не решаю - я лишь хочу сказать что
>судя по вашим вопросам вы в лучшем случае чайнегесли я не ошибаюсь, форум как раз и создан чтоб люди интересующиеся в том числе nix-ами, получали недостающие знания, но почти в каждой теме найдется свой "Pahanivo" который (наверно от недостатка женского внимания) портит дружескую атмосферу opennet.
Откуда столько желчи? кажется "глупым","чайнеговским" пост - пройди мимо.
p.s. судя по вашим постам вы в лучшем случае неуравновешенный хамло.
>если я не ошибаюсь, форум как раз и создан чтоб люди интересующиеся
>в том числе nix-ами, получали недостающие знания, но почти в каждой
>теме найдется свой "Pahanivo" который (наверно от недостатка женского внимания) портит
>дружескую атмосферу opennet.
>Откуда столько желчи? кажется "глупым","чайнеговским" пост - пройди мимо.
>p.s. судя по вашим постам вы в лучшем случае неуравновешенный хамло.почему то именно на форумах c open source процветает хамство, а на виндовозовской тусне такого нет и на чайнеговские вопросы дают нормальные ответы. С чего бы это????
>[оверквотинг удален]
>>если я не ошибаюсь, форум как раз и создан чтоб люди интересующиеся
>>в том числе nix-ами, получали недостающие знания, но почти в каждой
>>теме найдется свой "Pahanivo" который (наверно от недостатка женского внимания) портит
>>дружескую атмосферу opennet.
>>Откуда столько желчи? кажется "глупым","чайнеговским" пост - пройди мимо.
>>p.s. судя по вашим постам вы в лучшем случае неуравновешенный хамло.
>
>почему то именно на форумах c open source процветает хамство, а на
>виндовозовской тусне такого нет и на чайнеговские вопросы дают нормальные ответы.
>С чего бы это????наверно потому что администрирование подразумевает понимание того что вы делаете.
а тут не то что вопрос кажется "глупым","чайнеговским", а нет понимания как происходит движение пакетов по сетям и желания читать документацию похоже тоже нет. форум для решения возникших нюансов, но не для получения знаний, ибо на форумах бывают и не правильные ответы.firewall - всего лишь пакетный фильтр определяющий пропустить пакет или нет, а по каким критериям оценивать, вы вы сможете узнать посмотрев на то что сохраняется в заголовке пакета, кстати заодно поймете что происходит с MAC адресом.
>[оверквотинг удален]
>наверно потому что администрирование подразумевает понимание того что вы делаете.
>а тут не то что вопрос кажется "глупым","чайнеговским", а нет понимания как
>происходит движение пакетов по сетям и желания читать документацию похоже тоже
>нет. форум для решения возникших нюансов, но не для получения знаний,
>ибо на форумах бывают и не правильные ответы.
>
>firewall - всего лишь пакетный фильтр определяющий пропустить пакет или нет, а
>по каким критериям оценивать, вы вы сможете узнать посмотрев на то
>что сохраняется в заголовке пакета, кстати заодно поймете что происходит с
>MAC адресом.Вот! Ну есть же люди которые,без гонора, направят.Благодарю.
Задачу по защите rdp решил средствами ipfw и сменой стандартного порта rdp.ps раздражает не то, что "посылают читать", а то с каким гонором и хамством делают это.
>ps раздражает не то, что "посылают читать", а то с каким гонором
>и хамством делают это.да вы поймите -- то что вам сейчас "направили" -- это прописные истины, а спасибо за медвежью услугу... ну это как-бы не правильно, что-ли.
Учитесь, тогда вам не будут казаться совершенно правильные "а вы меня посылаете" чем-то неподобающим или хамством -- и будите понимать, что нужно понимать что ты делаеш, иначе, зачем вообще за это браться.
>[оверквотинг удален]
>>по каким критериям оценивать, вы вы сможете узнать посмотрев на то
>>что сохраняется в заголовке пакета, кстати заодно поймете что происходит с
>>MAC адресом.
>
>Вот! Ну есть же люди которые,без гонора, направят.Благодарю.
>Задачу по защите rdp решил средствами ipfw и сменой стандартного порта rdp.
>
>
>ps раздражает не то, что "посылают читать", а то с каким гонором
>и хамством делают это.а не нужно раздрожаться, никто не обязан уговаривать читать документацию, будите знать принцип работы, значит будите знать как решать задачи
>[оверквотинг удален]
>>
>>Вот! Ну есть же люди которые,без гонора, направят.Благодарю.
>>Задачу по защите rdp решил средствами ipfw и сменой стандартного порта rdp.
>>
>>
>>ps раздражает не то, что "посылают читать", а то с каким гонором
>>и хамством делают это.
>
>а не нужно раздрожаться, никто не обязан уговаривать читать документацию, будите знать
>принцип работы, значит будите знать как решать задачипоследую вашему совету.
ps ни одного дельного способа для решения задачи оглашено не было, все посты о взаимоотношениях и о том "кому что необходимо сделать чтобы..".
весело.
>[оверквотинг удален]
>>>и хамством делают это.
>>
>>а не нужно раздрожаться, никто не обязан уговаривать читать документацию, будите знать
>>принцип работы, значит будите знать как решать задачи
>
>последую вашему совету.
>ps ни одного дельного способа для решения задачи оглашено не было, все
>посты о взаимоотношениях и о том "кому что необходимо сделать чтобы..".
>
>весело.а задачи и не было , она высосана из пальца в связи с не пониманием.
и еще веселей то, что прочитав вы исправили бы правило быстрей чем ждать ответ на форуме и куда полезней для развития и нервов :)
>[оверквотинг удален]
>>>и хамством делают это.
>>
>>а не нужно раздрожаться, никто не обязан уговаривать читать документацию, будите знать
>>принцип работы, значит будите знать как решать задачи
>
>последую вашему совету.
>ps ни одного дельного способа для решения задачи оглашено не было, все
>посты о взаимоотношениях и о том "кому что необходимо сделать чтобы..".
>
>весело.и что хамского я сказал??? )) если вам лень читать - я вам так и сказал что вы ...
если вы не понимаете что такое сеть, протокол, пакет, фрейм - ВАМ НИКОГДА ПРАВИЛЬНО НЕ НАСТРОИТ ПАКЕТНЫЙ ФИЛЬТР
пакетный фильтр - это ТОЛЬКО ИНСТРУМЕНТ и ничего более