Názory k článku
Firewall na dial-upu

nemeli se ty ICMP pakety povolovat na ppp+ rozhrani misto na eth0 (kde bylo predchozim pravidlem stejne povoleno vse)?

To je jedno. Na eth0 a lo povolujeme vse.

ICMP pakety na ostatnich rozhranich projdou pouze selektivne. Pridavat tam jeste navic podminku rozhrani je IMHO zbytecne. Docela klidne muzete mit Internet i na eth1 nebo na sl0.

"nemá valného významu omezovat datagramy v řetězci OUTPUT (mají svůj původ v našem počítači a nejsou tedy potencionálně nebezpečné)"

Paranoidni predstava:
---------------------
A co kdyz se mi na muj pocitac dostal spyware (proste jsem neuvazene nainstaloval soft, ktery dela neco jineho, nez tvrdi) a on ted o me a mych datech posila informace nekam ven? Jde to nejak *snadno a dobre* resit prave pomoci packet filteringu? Pokud za pripojenim k netu (nemusi byt nutne dialupem) jsou nejake pocitace s Windowsy, je sance, ze na nich bude spyware docela vysoka... Co s tim?

paketovy filtr jako takovy (a navic na jinem pocitaci) nema na spyware prakticky zadny vliv. zkuste se podivat na http://neworder.box.sk/anonymity.php#spyware a pak na ty win zkuste nainstalovat personal fw (napr. zone alarm http://www.zonelabs.com/, tiny personal firewall apod.)

Pokud za routerem budou windows, tak vas filtrovani v OUTPUTu nezajima - pakety prochazeji pres FORWARD. Tento clanek se firewallem pro router nezabyva.

Pred instalaci spyware vas firewall neochrani, pred jeho fungovanim taky ne. Dovedu si predstavit spyware, ktery by posilal informace pres HTTP nebo treba SMTP port a neco takoveho na urovni paketoveho firewallu nemate sanci rozeznat od regulerniho provozu.

Jedinou obranou tedy je neinstalovat nic od ceho nemate zdrojak :-)

Nemate nekdo zkusenost s caching-nameserverem (redhat 7.2) a firewallem. Kdyz jsem zkousel na jednom pocitaci (dial-up) nakonfigurovat firewall, prestal mi fungovat caching-nameserver, bohuzel uz nemam pristup k tem iptables, co jsem zkousel. Ale ten nameserver jsme potrebovali dulezity, aby se nektere veci daly testovat i off-line.

mozna hloupy dotaz, ale nezrusil jsi na tom firew. port 53?

ale, sam sobe vynadam ze spatne ctu predchozi prispevky, vzhledem k tomu, ze to nejede jen off-line... :( tak nic, omnlouvam se

Diky za odpoved.

Ten muj dotaz je dost blby tim, ze ted dlouhodobe nemam v dosahu zadny pocitac, kde bych to mohl zkusit a napsat vic informaci.

O tom, ze musim povolit port 53 pochopitelne vim. Bohuzel nemam ta pravidla, co jsem pouzil a nevylucuji ze jsem proste udelal chybu a prehlid jsem ji (hledal jsem dost). Dalsi vec je, ze zrovna RedHat pokud vim (v prislusne konfiguraci) automaticky nahazuje firewall, kdyz spustite pripojovaci skript - takze si musite hlidat, jestli se aplikuji opravdu ta pravidla co myslite... To jsem ale snad osetril.

Jen jsem se chtel zeptat, jestli se nekomu tuhle kombinaci (RedHat, caching-nameserver, firewall) podarilo rozchodit a jestli by poslal nejake HOWTO (googlovani bylo neuspesne). Jinak se tim netrapte, konfiguraci fw jsem temer netknuty a clovek se ucit proste musi :-)

No snad nekde jeste ty konfigy mam. Na dialupu jsem rozbehal binda,squida a par dalsich blbin, a zadny problemy jsem nemel. Priznam se ale, ze to nebylo hned a napoprve. To studium je dulezity :)

pokud vim, tak caching nameserver pouziva (krome tcp) pro kratke veci i udp packety. viz napr. ipchains-howto

Caching nameserver neni nic jineho nez obycejny DNS nameserver (resolver) s pameti. Pouziva vetsinou 53/UDP a obcas (pro zone-transfers a dlouhe dotazy) 53/TCP.

Ještě si dovolím upřesnit - nameserver musí pro všechny dotazy kromě transferu zóny odpovídat jak na udp/53 tak tcp/53. Pro transfer zony jen tcp/53.
Docela me prevapilo chovani windowsackeho nslookup ktery i pro axfr pouziva UDP, a tedy se mi s snim nepodaril transfer zony...