1. входящие tcp соединения - согласен, все что не надо запретить и вести логирование пакетов на запрос соединения:
2. по исходящим коннектам - ВСЕГДА найдется юзверь который поставит программу использующию свой порт - я думаю разрешать коннекты ко всем портам во внешней сети;
3. >>ICMP-траффик можно разрешить.
спорно, можно налететь на icmp атаку, делаю примерно так
-A output -p icmp -s myhost 8 -d 0/0 0 -j ACCEPT
-A input -p icmp -s 0/0 0 -d myhost 0 -j ACCEPT
-A input -p icmp -s 0/0 3 -d myhost 3 -j ACCEPT
-A input -p icmp -s 0/0 11 -d myhost 0 -j ACCEPT
4. UDP >>вообще то, в теории ;-) dns использует для зональных передач и tcp протоколы, вот только не скажу как в случае кеширующего сервера :-(
5. по теме аськи и прочих хреновин, вернее так запускаешь сниффер смотриш куда и как и на основании этого правило
> я тут написал заметку о том, какие порты надо закрывать фв. > http://winfaq.com.ru/ubb/Forum7/HTML/000053.html > хотелось бы услышать замечания умудренного опытом All. Коли уж, это написано для начинающих админов, то надо добавить правило номер1, - сначала всё запрещается а потом открывается по мере надобности.
1. входящие tcp соединения - согласен, все что не надо запретить и вести логирование пакетов на запрос соединения:
2. по исходящим коннектам - ВСЕГДА найдется юзверь который поставит программу использующию свой порт - я думаю разрешать коннекты ко всем портам во внешней сети;
3. >>ICMP-траффик можно разрешить.
спорно, можно налететь на icmp атаку, делаю примерно так
-A output -p icmp -s myhost 8 -d 0/0 0 -j ACCEPT
-A input -p icmp -s 0/0 0 -d myhost 0 -j ACCEPT
-A input -p icmp -s 0/0 3 -d myhost 3 -j ACCEPT
-A input -p icmp -s 0/0 11 -d myhost 0 -j ACCEPT
4. UDP >>вообще то, в теории ;-) dns использует для зональных передач и tcp протоколы, вот только не скажу как в случае кеширующего сервера :-(
5. по теме аськи и прочих хреновин, вернее так запускаешь сниффер смотриш куда и как и на основании этого правило
отправка UDP от/к DNS - необходима малленькая оговорка (при использовании IRC клиента прописывать UDP по его порту к его серверам)
ICQ - только порты 4000 или 5190,5191,5192 - тоже чересчур категорично...
Autoconfigure на что? не знаю, как ты, но я по 4000 c Мирабилисом еще ни разу толком не соединился - то коннект рвет, то не пускает.
Так что надо закрывать после конфигурации
А еще лучше установить ФВ с возможностью обучения "на лету" и потом доставлять проги
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
