_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
From : Alex Korchmar 2:5020/28 23 Dec 98 17:22:18
Subj : чем tcpd лучше, чем ipfw
________________________________________________________________________________
Hello Alex,
On 21/Dec/98 at 12:01 you write:
AB> Да. Я лично так и сделал. Я довольно долго обдумывал - чем
AB> tcpd лучше, чем ipfw - и так ничего и не пpидумал;) Чем хуже - не
во-первых, отсутствием лишней нагрузки (фильтр прогоняет через набор правил все
пакеты - tcpd делает это один раз при установлении сессии)
во-вторых - удобочитаемой настройкой.
в-третьих - лучшим логом, существенно быстрее дающим ответ на вопрос типа
"какого хрена меня не пускает ftp?" и с меньшим шансом для DoS.
AB> позволяет закpывать сеpвисы, котоpые не пускаются из-под inetd. В
я стараюсь, чтобы эти сервисы у меня были скомпилены с libwrap и/или не слушали
на тех интерфейсах, которые им не нужны. Чтобы, действительно,
не задумываться о том, какие сервисы не входят в "ALL".
AB> чем я непpав??? Я пpосто pазгpаничиваю как-бы весь интеpнет на
AB> следующие части:
AB> 1. полностью trusted - это мой ноутбук.
ты уверен, что никто из "частично trusted" не может подделать твой ноутбук? ;)
AK> на файрволле не место ftpd. Да и smtp в обычном виде
AK> нежелателен. А
AB> Hа файpволле, котоpый _защищает сеть_. А на том, котоpый
AB> защищает конкpетно smtp-сеpвеp?
а зачем там файрволл - чтоб почта не ходила? С этим вполне справляется сам
сервер. Если на этом сервере крутятся еще какие-то левые сервисы, значит, ты сам
себе папа карло.