On 4.3.2009, at 7:23, Dan Lukes wrote:
Miroslav Prýmek napsal/wrote, On 03/04/09 06:57:
Promin, psal jsem to moc zkratkovite - mel jsem namysli situaci,
kdy druhy stroj je "na druhe strane Internetu"
-- tj. za dvouma firewallama atd. Tim "nfs/vpn" jsem myslel "NFS
prez VPN prez Internet"
NFS server je server. Automaticky predpokladam, ze ten ma plne
pripojeni k Internetu.
V praxi je "plne pripojeni" spis DMZ, ktera je taky za nejakym
firewallem, ne?
Ten firewall je muj. To, jestli je tu on pro me a bude propoustet to
co potrebuju, nebo ja jsem tu pro nej a budu prizpusobovat svoje
veci tomu, co on mi laskave dovoli, to jsme si navzajem vyjasnili uz
davno ;-)
Tak to ti zavidim, ja po nem obcas neco chci a on tvrdosine trva na
svem :)
BTW, kdyz uz jsme u toho, zlobi me treba ipfw s jednou veci:
mam X pravidel s "setup keep-state" a predposledni pravidlo by melo
byt (muze byt) podle handbooku
deny tcp from any to any established
cili "zahodit vsechno, co se tvari jako established ale pritom se
nenamatchovalo na check-state"
No ale ma to tu (docela blbou) nevyhodu, ze pri restartu firewallu se
vyhazou pravidla
a timpadem vsechna existujici spojeni spadnou prave diky tomu predtim
popsanymu
pravidlu, protoze se nenamatchuji a zaroven jsou established.
Tak si rikam, co je vetsi zlo - jestli to pravidlo zmenit z "deny" na
"allow" (hodne firewallu
na linuxu se tak dela, tak co?) a nebo radsi pocitat s tim, ze restart
firewallu umrtvi existujici spojeni
?
Mirek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
