podivne zpomaleni provozu s firewallem PF -OT

Jaroslav Votruba jaroslav.votruba at keytec.cz
Thu Nov 29 12:32:17 CET 2007

Previous message: podivne zpomaleni provozu s firewallem PF -OT
Next message: podivne zpomaleni provozu s firewallem PF -OT
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

diky za vysvetlani


> 	ipfw pravidla necte. ipfw se pravidla davaji - typicky shellovskym 
> scriptem. /etc/rc.firewall je shellovsky script
>
>   
takze includy nejsou problem? v jednom predchazejicim threadu jste 
rikal,ze aktualizace

/etc/rc.firewall.rules
se pak musi zabezpecit jednoduchym scriptem. Coz si trochu protireci. rc.firewall.rules je script a aby v nem fungivali includy se musi osetrit dalsim scriptem? Nebo jste to myslel jinak,ale vyznelo to tak jak jsem to pochopil?

>
> Lepe
> set 31 deny 65535 ip from any to any
>
> Takhle zadaneho pravidla se netyka 'flush' a firewall tak zustane 
> defaultne zavreny i po nem. Otazka je, jaky ma smysl udelat si 
> default-open a pak ho zavirat - ale mozne to je.
>
>   
to set 31 ma nejakou specialni funkci,nebo kdyz napisu jiny cislo misto 
ty 31 je to jedno jaky tam je cislo? Musi to byt uvedene na konkretnim 
miste (zacatku ,konci scriptu),nebo je to jedno?


>> 4,- v soucasnosti mam v  /etc/rc.firewall.rules syntaxi add 100 pass all 
>> from any to any via lo0, muhu zde pouzit taky
>> ipwf add 100 pass all from any to any via lo0? Nebo to v teto podobe 
>> muhu pouzit jen pri zadavani pres radku(scriptem)?
>>     
>
> 	Ja nejak nevidim mezi
>  > add 100 pass all from any to any via lo0
> a
>  > add 100 pass all from any to any via lo0
>
> 	rozdil ani v jednom pismenku. Zrejme nerozumim dotazu.
>
>   

rozdil je v

add 100 pass all from any to any via lo0
a
ipwf add 100 pass all from any to any via lo0

na webu je to jednou tak  a jednou tak-rad bych vedel co je spravnejsi


>> 5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni 
>> sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby nemohli 
>> na DNS-nebo se pletu?
>>     
>
> 	Ano - staci to *nebo* se pletes.
>
> 	Ale abych byl konstruktivni - pletes se.
>
> 	DNS slouzi (zjednodusene receno) k prevodu jmen na IP adresu. Vlastni 
> komunikace uz se nijak netyka. Pokdu stanicim zablokujes pristup k DNS 
> pak jim znemoznis pouze tento prevod. Komunikaci na jim zname IP adresy 
> nezabranis.
>   
me docela staci,za se nedostanou na DNS, neznam nikoho kdo si pamatuje 
IP adresy z hlavy. pokud lidi nebudou vedet,ze to nefacha jen kvuly 
prekladum tak je nanapadne si z domova zjistit IP seznam.cz a v praci ji 
zadat do prohlizece a i kdyby jo dostanou se jen na tamni stranky,vse 
ostatni je stejne prolinkovano pres jmenne adresy a ne pres IP.

Previous message: podivne zpomaleni provozu s firewallem PF -OT
Next message: podivne zpomaleni provozu s firewallem PF -OT
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list