Всем привет, решил обесобаситься и оставить только один web фаерволом, делаю это так:
allow tcp from any to any 80
allow tcp from any 80 to any
Но возникает сразу две проблемы (на мой взгляд)
во первых это то что к моему серверу получат доступ на 80 порт,
но это не сушественно ведь всегда можно сделать:
deny tcp from any to my_ip 80
И вторая проблемма ведь что если придёт какой нибудь злобный пакет с 80 порта удалённой машины, по текущем правилам он сможет приконектиться на любой порт! вот такие вот дела.
Раньше использовал
check-state
allow tcp from my_ip to any 80 keep-state
Но ведь это не совсем удобно. Какие у кого мысли?
более безопасно в принципе и это:
allow tcp from my_ip to any 80
allow tcp from any 80 to my_ip
но всё равно на любой мой порт смогут прислать пакет если постараються?
Что делать? или я просто параноик?
|
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
21-Дек-04, 12:48 (MSK)
