Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 След.
ftp
 
Добавь пока это:

pass in on $int_if proto tcp from $lan_net to any port 1024:65535 keep state
pass in on $int_if proto icmp from any to any
pass in on lo all
pass out on lo all

Это для пассивного. Для активного не могу с ходу сказать, но если надо могу завтра посмотреть.
Пред-последнюю строчку измени с этой:
pass in on $int_if proto tcp from $lan_net to any port $serv_udp keep state
на эту:
pass in on $int_if proto udp from $lan_net to any port $serv_udp keep state

Это так, на скорую руку. Если обтачивать напильником то нужно будет еще неск изменений.
ftp
 
Я не голословен, мне ничего не стоит написать конфиг заново, я просто не вижу логики в правилах то ли Ты пытался разрешить пользователям внутренней сети лазать по нету по определенным портам, то ли открыть порты на серве. Не понятно так же почему конкретятся интерфейсы там где их вроде нет смысла конкретить, непонятно так же что у Тебя с localhost (на ск я понимаю он вообще не работает)...

Ну короче мне ни чего из этого не понятно. Ты напиши что хотел реализовать, я опишу что Тебе нужно сделать. Я всего лишь пытаюсь помочь...

Кстати ipfw работает быстрее ipfа в отношении фильтрации.
ftp
 
Кхе... Что-то у Тебя явно не то...

Это и является причиной всех Твоих проблем с named и теперь ftp, на самом деле думаю проблем на много больше. Проще переписать все с читого листа, только я так и не пойму что Ты хотел реализовать...
Отказ в обслуживании в Cisco при обработке ICMP сообщений
 
Вообще-то можно резать не все ICMP-пакеты, а только выборочно (если уж так руки чешутся). Во-вторых запрет ICMP ни как не мешает проводить атаки по другим протоколам с использованием локальных пространств.
Если не понятно как работает PMTUD то чтаем тут.

Фильтрация ICMP - есть полнейший бред с точки зрения безопасности и это есть нарушение стандартов, что есть криворукость со всеми вытекающими... Сейчас, когда начинает стремительно расти популярность PPPoE можно получить массу проблем со связью с такими серверами.
Торвальдс ищет новое пристанище для Linux
 
Цитата
nrz пишет:
не хватит ни какого cvs для linux...

Это почему еще? Вполне даже хватит...
bind9
 
2Banton:
Надо писать в named.conf , а не в localhost.rev .

Вот Тебе пример как пища для размышлений:
Цитата
named.conf пишет:

options {
directory "/etc/namedb";
forwarders {
// Это днски прова
 10.10.10.10;
 10.10.10.20;
};
forward first;
// Какие интерфейсы слушать
listen-on port 53 { 127.0.0.1; 192.168.1.1; };
};

// Отвечает за кеширующий серв
zone "." {
type hint;
file "named.root";
};

// Оставить чтобы не терроризировать корневые сервера
zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
ftp
 
2Banton:
Значит так, чтобы ответить на Твой вопрос нужно знать как минимум:
1. Какая операционка и ее версия?
2. Какой FTP-сервер используется и какой версии?
3. Какой используется фаер?

Для начала следует сказать, что 23 порт - это Telnet. К активному FTP относиться 21 incoming и 20 outgoing, к пассивному относиться 21 incoming и 1025-65535 incoming.
Соответственно проброс пассивного через нат/фаер (опять же что там у Тебя?) можно сделать как минимум неск способами:
1. Интеллектуальный фаер/нат открывает/пробрасывает динамически создаваемые порты (распознаются в протоколе FTP).
2. Открывается неск десятков/сотен портов в верхнем диапазоне и в конфиге FTPшника задаешь нижний и верхний предел портов (например pasv_min_port и pasv_max_port для vsftpd). Этот способ мне более близок к сердцу.
Вопрос про DNS
 
Цитата
S.Makc пишет:
Хм... Действительно! Прошу прощения сейчас проверил,  
действительно можно (хм. почему я считал что  
нельзя ? может старые версии бинда это не
умели ?!?!), тока вот я недогнал по какому принципу он
возвращает хосты, сначало думал что по очереди
оказалось нет просто как то случайно то то вернет то
другое...   

По дефолту возвращает циклически, но если речь идет о Bind, то этот порядок отдачи записей можно изменить при помощи опции rrset-order и указать как отдавать записи (циклически, случайно, последовательно).
UDP and Outpost
 
Цитата
forex пишет:
Кстати, для чего используется протокол GRE?
Для построения тонелей в т.ч. PPTP.
Российские спамеры действуют исподтишка
 
Ну надо же, России даже в списке нету... :)
Российские спамеры действуют исподтишка
 
Обсуждение статьи Российские спамеры действуют исподтишка
Фишеры проталкивают шпионское ПО через дыры в защите DNS
 
Ха... Да вы посмотрите на это:
http://kurepin.ru/obzor/mtu/
И такой хренью занимаются крупные компании-монополисты (!), а цели банальны - реклама и переманивание клиетов... :-\
Бывший сотрудник "Эльдорадо" получил срок за пиратство
 
Цитата
Pig killer пишет:
Нет тут ни какой подставы. Эльдорадо отстегнуло парню кругленькую сумму в размере 3-х годовой зарплаты чтобы он взял вину на себя. И все довольны.
Эээ... Ты сам понял что сказал? %)
Microsoft пытается аннулировать патент на IE-плагины
 
Совсем уже в США докатились до маразма со своими патентами... Они бы еще колесо запатентовали!
В данном случае я целиком поддерживаю MS! Признание плагинов закрытой технологией - серьезная угроза для очень большого числа ПО.
Microsoft взяла на вооружение «белый список»
 
Впринципе идея мсовцев не плохая и имеет под собой обоснование, только жаль что они не способны ее нормально реализовать.

Не много на эту тему:
http://www.webinform.ru/comments/1012.html
Microsoft гоняет российских пиратов
 
Я думаю, что на серверных платформах Винда Линуху не конкуренция, но вот до рабочих станций Линуху еще пока далеко, НО у МАИ есть реальный опыт тестирования корпоративной сети из Linux-рабочих станций (включая использование OpenOffice и т.п.). Так вот, практика показала, что такие сети способны на существование и никаких принципиально новых проблем с обучением кадров и нехваткой софта не возникало. Тобеж не так страшен черт как его малюют.
Microsoft повысит безопасность Windows XP
 
2Гыгыгы:
А это все делается специально, дабы поддерживать здоровую конкуренцию и не душить производителей всяких там фаеров, звонилок, регетов и т.д. [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG]
В Бельгии арестована "компьютерная террористка"
 
А где про это все подробнее можно почитать?
Пользователям Интернета придется "сдавать на права"
 
На самом деле, подход к проблеме немного не с той стороны, :) скорее всего это действительно касаемо денег и только денег.
Реально дела обстоят не том что "домохозяйки" открывают все подряд, а в похуестическом отношении к проблеме ИБ со стороны предоставляющих этим "домохозяйкам" услуги доступа в инет. Почтовые черви по определению не могут быть _быстрораспространяемыми_, и не вижу проблемы резать подобный мусор на почтовых серверах. Другое дело обстоит в том, что в США по умолчанию юзерам раздают реальные ИП-ишники не прикрытые сетевыми фаерами людям, которые даже не знают что это такое. ИМХО по умолчанию нужно давать либо заNATченные ипы (как во многих Российских сетках) - это разрешит 80% проблем с "крякерскими распределенными сетями" (вспомните спам письма приходящие с штатовских dsl-сетей), а так же возможно отсрочит проблему и с нехваткой диапазона IPv4, либо можно по умолчанию прикрывать реальный ип сетевым фаером (139 многие ведь прикрывают, почему нельза прикрыть и все входящие?).
Начинать все нужно с начала, а не с одного места...
Сообщество Linux обвинили в антиамериканской деятельности
 
"Если бы Linux не было, тридцати поколениям пигмеев пришлось бы копить деньги на покупку движка у Microsoft."

Продолжу их мысль: ...но ибо денег на это у них нет, то мы(SCO) спровоцируем такое количество пиратов, которое намного сильнее подорвет и без того "хилую" экономику США нежели Linux и весь GPL-софт вместе взятых...
Страницы: Пред. 1 2 3 4 След.