Cizek.Milan napsal(a): >> ja bych to resil trochu jinak - povoleni/zakazani provozu >> internet<->BSDSTROJ bych neresil az na BSDSTROJi a ale jiz na iGW. >> >> Potom by na iGW stacilo mit na rozhrani z/do internetu pravidla typu: >> >> * povol vybrane sluzby na BSDSTROJ >> * vse ostatni zakaz > > A pomuzu si? Dle meho je to stejna varianta, jen presunuta nekam jinam.
Logika se presouva na prvni stroj, ktery je dostupny z internetu - potecionalniho utocnika odriznes na prvnim moznem miste a nepustis ho vubec do vnitrni site (jen na povolene sluzby). Na vnitrnim stroji uz nemusis (ale muzes) rozlisovat, zda jde o vnitrni nebo vnejsi provoz. > >> Jinak pro pasivni FTP rezim musite mit jeste povoleny nejenom porty ftp >> a ftp-data ale i nejaky rozsah portu, ktere vyuziva FTP server pro >> pripojeni pasivnich klientu (tento rozsah se ruzni podle pouziteho FTP >> serveru a jeho konfigurace). > > Ano, je to tak, povoleni dalsich portu (pru PureFTPd 49152-65535) pomohlo a > vse funguje. Chci se ale zeptat, da se nejak docilit toho, aby se pro nmap > tvarili tyto porty jako neviditelne, resp. aby si nmap vubec nevsiml, ze tam > je neco navic k dispozici? Neni mi jasne jak to pozna, ty porty otevrene > nejsou, nic na nich nenasloucha... > > 49400/tcp closed compaqdiag > 50000/tcp closed iiimsf > 50002/tcp closed iiimsf > 54320/tcp closed bo2k > 61439/tcp closed netprowler-manager > 61440/tcp closed netprowler-manager2 > 61441/tcp closed netprowler-sensor > 65301/tcp closed pcanywhere Sve uz k tomu napsal Dan, pokud i tak chces dosahnout konfigurace, abys neodpovidal na komunikaci na portech, kde nic neposloucha - podivej se na sysctl net.inet.(tcp|udp).blackhole (viz blackhole(4)). -- Mgr. Petr Bezděk email: [EMAIL PROTECTED] web: www.ada-net.cz -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
