Nikola Antonov wrote: > Принципно аз не съм фен на подобни решения. За мен е винаги много съмнителен > от гледна точка на функционалност и оптимизация firewall, който още от самото > начало не задава политика по подразбиране DROP на всички вериги.
Дали е в началото или края май няма значение ;-) > Простата > логика предполага първо да се блокира всичко на ниво политика и после да се > разрешат изрично исканите услуги. Абе май не е точно така, първо пакетите преминават през правилата на дадена верига и чак след това ако стигнат края те се приемат или изпускат според политиката на веригата. > Само така може да сме сигурни, че от > плетеницата в правила няма да "изтече" нещо. А и по този начин се постига > максумим ефективност с минимум код. > За максимум ефективност можем да поспорим, зависи от натовареността. В някои ситуации да замесиш и layer 4 (OSI) ти излиза малко солено от към хардуерни ресурси. Представи си един *МНОГО* натоварен уеб сървър (знам, че linux-bg.org не попада в тази категория) със зареден ip_conntrack модул следящ абсолютно всички връзки, еми ти няма да смогнеш да и купуваш RAM на тази машина/машини. Има вариант за raw таблица и NOTRACK target но там нещата са експериментални и ефекта може би не е много сигурен. В някои случаи просто не можеш да си позволиш DROP политики на веригите. -- regards, Georgi Alexandrov Key Server = http://pgp.mit.edu/ :: KeyID = 37B4B3EE Key Fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE
signature.asc
Description: OpenPGP digital signature