IPFW omezeni sluzeb z inetu

[Petr Bezděk]

Cizek.Milan napsal(a):
>>  ja bych to resil trochu jinak - povoleni/zakazani provozu 
>>  internet<->BSDSTROJ bych neresil az na BSDSTROJi a ale jiz na iGW.
>>  
>>  Potom by na iGW stacilo mit na rozhrani z/do internetu pravidla typu:
>>  
>>  * povol vybrane sluzby na BSDSTROJ
>>  * vse ostatni zakaz
> 
> A pomuzu si? Dle meho je to stejna varianta, jen presunuta nekam jinam.

Logika se presouva na prvni stroj, ktery je dostupny z internetu - 
potecionalniho utocnika odriznes na prvnim moznem miste a nepustis ho 
vubec do vnitrni site (jen na povolene sluzby). Na vnitrnim stroji uz 
nemusis (ale muzes) rozlisovat, zda jde o vnitrni nebo vnejsi provoz.

> 
>>  Jinak pro pasivni FTP rezim musite mit jeste povoleny nejenom porty ftp 
>>  a ftp-data ale i nejaky rozsah portu, ktere vyuziva FTP server pro 
>>  pripojeni pasivnich klientu (tento rozsah se ruzni podle pouziteho FTP 
>>  serveru a jeho konfigurace).
> 
> Ano, je to tak, povoleni dalsich portu (pru PureFTPd 49152-65535) pomohlo a vse funguje. Chci se ale zeptat, da se nejak docilit toho, aby se pro nmap tvarili tyto porty jako neviditelne, resp. aby si nmap vubec nevsiml, ze tam je neco navic k dispozici? Neni mi jasne jak to pozna, ty porty otevrene nejsou, nic na nich nenasloucha...
> 
> 49400/tcp closed compaqdiag
> 50000/tcp closed iiimsf
> 50002/tcp closed iiimsf
> 54320/tcp closed bo2k
> 61439/tcp closed netprowler-manager
> 61440/tcp closed netprowler-manager2
> 61441/tcp closed netprowler-sensor
> 65301/tcp closed pcanywhere

Sve uz k tomu napsal Dan, pokud i tak chces dosahnout konfigurace, abys 
neodpovidal na komunikaci na portech, kde nic neposloucha - podivej se 
na sysctl net.inet.(tcp|udp).blackhole (viz blackhole(4)).

-- 
Mgr. Petr Bezděk
email: pbezdek at ada-net.cz
web: www.ada-net.cz