[linux] OT:hlasky z firewalu

Jarry guru jarry na gmx.net
Pátek Únor 16 11:02:39 CET 2001 

Matus \"fantomas\" Uhlar wrote:

> ak sa pod vyrazom firewall mysli pocitac, moze z neho pouzivatel dostat
> mail a moze vediet posudit obsah paketov. Mam pocit ze ty robis blbca
> z dotycneho kto sa pytal.

Ano? Mam ten pocit, ze tomu dotycnemu som celkom dobre odpovedal.
Tak mi teda povedz, preco mas ten pocit, ze z NEHO robim blbca?
BTW, access control pre named NIE JE vo vseobecnosti firewall.
Nanajvys len nastavenie pristupovych prav pre konkretnu aplikaciu.

> -> > a ak nie, blokni z tej masiny tcp spojenia na TCP port 53
>                       ^^^^^^^^^^^^
> -> Lenze tym zablokuje moznost kontaktovat svoj bind aj pre bezny
> -> nameresolving, nie len pre transfer zony. Nie vzdy sa pre
> -> vyhladavanie mien pouziva iba UDP, ten totiz nezarucuje
> -> dorucenie. Ak sa data stratia, znova sa vyhladava cez TCP.
> -> A napriklad IBM AIX pouziva vzdy TCP, aj pre pociatocny dotaz.
> -> Ale to ti je predsa zname, fantomas, ze?
> -> Takze ak blokne tcp na 53, koli jednemu procesu/blbcovi to
> -> postihne aj nevinnych. Ale aj to je riesenie...
> 
> miesto osobnych invektiv si poriadne precitaj co som napisal...
> podciarkol som to.

A ja som presne na to odpovedal. Ak zablokujes pristup z TEJ MASINY
na tcp/53, potom aj bezny nameresolving jeho siete Z TEJ MASINY
bude mat problemy, resp. vobec nemusi fungovat. Cize na TEJ MASINE
moze byt "x" uzivatelov, a koli jednemu (alebo procesu, ktory to
robi) bude mat problemy aj tych "x-1" ostatnych...

> Myslim ze ked mi nejaka masina obtazuje lubovolny server, (ci uz ide o PC
> alebo beziaci proces) nie je dovod tej masine nezakazat pristup.

V podstate to uz ma spravene, ale az na urovni tej aplikacie.
Transfer zony mu totiz named nepovolil...

> A kontaktovat admina masiny je vhodna zalezitost. Ak sa neozyva, mozu
> mat z toho problemy pouzivatelia nuz ale naco su admini?

No ja mam skor skusenosti s inteligentnymi administratormi. Tiez som
objavil podobne hlasenia v mojich logoch, pravidelne sa opakovali,
takze som jednoducho prislusneho admina kontaktoval, nech to vysvetli.
Nikdy to nedoslo tak daleko, ze by som musel bloknut pristup Z TEJ
MASINY koli tomu, ze ktosi chcel mirrorovat moj named.

Mimochodom, nie je to nahodou skoro to iste, ibaze o jednu
vrstvu skor? Ak blokne pristup z tej masiny, potom mu bude hadzat
hlasky do logov naozaj firewall, nie named. A predsa presne toho sa
chce zbavit...

Jarry

-- 
Sent through GMX FreeMail - http://www.gmx.net

Další informace o konferenci linux