Все от меня!
Добавлено: 01 ноя 2005, 12:42
На FreeBSD(маршрутизатор) я делал так:
чтобы разрешить все исходящие сообщения я использовал правила check-state и keep-state. Наверное представляете что это.
Это позволяло мне не задумываться о том какого типа траффик от меня исходит и не "мудохаться" с прописыванием правил для каждого протокола (TCP,UDP,ICMP).
Более правильный аналог это конечно отслеживание состояние соединений. Скажем запрет инициации внешних соединений путем отбрасывания входящих пакетов с установленным флагом SYN. Но это относится к TCP.
Как быть со всеми остальными протоколами. Существуют ли аналоги динамических правил в iptables, Если нет, то какими способами можно разрешить от себя абсолютно весь траффик.
У меня есть конечно свои соображения, но что думаете вы?
Спасибо!
P.S. Плавно перехожу на линуксА.
чтобы разрешить все исходящие сообщения я использовал правила check-state и keep-state. Наверное представляете что это.
Это позволяло мне не задумываться о том какого типа траффик от меня исходит и не "мудохаться" с прописыванием правил для каждого протокола (TCP,UDP,ICMP).
Более правильный аналог это конечно отслеживание состояние соединений. Скажем запрет инициации внешних соединений путем отбрасывания входящих пакетов с установленным флагом SYN. Но это относится к TCP.
Как быть со всеми остальными протоколами. Существуют ли аналоги динамических правил в iptables, Если нет, то какими способами можно разрешить от себя абсолютно весь траффик.
У меня есть конечно свои соображения, но что думаете вы?
Спасибо!
P.S. Плавно перехожу на линуксА.
