forum.opennet.ru - "А что может грозить серваку при таких правилах firewalla???" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"А что может грозить серваку при таких правилах firewalla???"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"А что может грозить серваку при таких правилах firewalla???"
Сообщение от IgorI (ok) on 09-Мрт-05, 15:41 (MSK)
Всем доброго дня! Меня вдруг заинтресовал следующий вопрос ( я не волшебник - я только учусь): есть сервер FreeBSD, на внешнем интерфейсе никаких открытоых портов нет, в файрволле прописаны следующие правила: allow tcp from any to any via внешний интерфейс deny icmp from any to any via внешний интерфейс Что может грозить этому серверу????
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

А что может грозить серваку при таких правилах firewalla???, crash, 16:05 , 09-Мрт-05, (1)
- А что может грозить серваку при таких правилах firewalla???, IgorI, 16:12 , 09-Мрт-05, (2)
  - А что может грозить серваку при таких правилах firewalla???, Skif, 16:26 , 09-Мрт-05, (3)
    - А что может грозить серваку при таких правилах firewalla???, aliv, 16:32 , 09-Мрт-05, (4)
      - А что может грозить серваку при таких правилах firewalla???, IgorI, 16:39 , 09-Мрт-05, (5)
- А что может грозить серваку при таких правилах firewalla???, Андрей, 16:57 , 09-Мрт-05, (6)
  - А что может грозить серваку при таких правилах firewalla???, aliv, 17:04 , 09-Мрт-05, (7)
    - А что может грозить серваку при таких правилах firewalla???, Андрей, 17:14 , 09-Мрт-05, (8)
  - А что может грозить серваку при таких правилах firewalla???, Skif, 11:30 , 10-Мрт-05, (9)
    - А что может грозить серваку при таких правилах firewalla???, e719, 11:19 , 11-Мрт-05, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от crash (ok) on 09-Мрт-05, 16:05  (MSK)

>Всем доброго дня!
>Меня вдруг заинтресовал следующий вопрос ( я не волшебник - я только
>учусь):
>есть сервер FreeBSD,
>на внешнем интерфейсе никаких открытоых портов нет,
>в файрволле прописаны следующие правила:
>allow tcp from any to any via внешний интерфейс
>deny icmp from any to any via внешний интерфейс
>Что может грозить этому серверу????
ну это все равно что у вас нет фаервола.. а чот может грозить серваку у которо нет фаервола?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от IgorI (ok) on 09-Мрт-05, 16:12  (MSK)

Но портов же нет открытых...

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от Skif (??) on 09-Мрт-05, 16:26  (MSK)

>Но портов же нет открытых...

Да? Вы так уверены? а запустите ка nmap или или что-то подобное. Уверен, откроете для себя много чего интересного.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от aliv (??) on 09-Мрт-05, 16:32  (MSK)

Тема и правда интересная. Давайте перечислим службы с возможно открытыми портати, ну скажем в конфигурации Generic

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от IgorI (ok) on 09-Мрт-05, 16:39  (MSK)

>Тема и правда интересная. Давайте перечислим службы с возможно открытыми портати, ну
>скажем в конфигурации Generic
На netstat -a вываливается
tcp4 localhost.smtp     listen
icm4   *.*
как я понимаю, что localhost.smtp для посылки админу внутренних сообщений.
так что получается снаружи открытых портов нет...

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от Андрей (??) on 09-Мрт-05, 16:57  (MSK)

>ну это все равно что у вас нет фаервола.. а чот может
>грозить серваку у которо нет фаервола?
Меня всегда потешали люди считающие, что закрытие всех портов на сервере - насущная необходимость. Особенное тех, которые никто не слушает.
А sendmail, http, https оставлять открытими и считать что они защищены, потому как все остальное закрыто. Ну дык, объясните теперь, как можно ломануть сервер по портам, которые никто не слушает. Никак!
А через ваш любимый 5-ти летней давности sendmail (вы ж не ламер какой-нить ПО обновлять) его запросто ломанут.
Ответ прост - ничем не грозит, а если выставляешь порты наружу, то на файерволл не надейся, не поможет - обновляй регулярно ПО и будешь счастлив...

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от aliv (??) on 09-Мрт-05, 17:04  (MSK)

>>ну это все равно что у вас нет фаервола.. а чот может
>>грозить серваку у которо нет фаервола?
>
>Меня всегда потешали люди считающие, что закрытие всех портов на сервере -
>насущная необходимость. Особенное тех, которые никто не слушает.
>А sendmail, http, https оставлять открытими и считать что они защищены, потому
>как все остальное закрыто. Ну дык, объясните теперь, как можно ломануть
>сервер по портам, которые никто не слушает. Никак!
>А через ваш любимый 5-ти летней давности sendmail (вы ж не ламер
>какой-нить ПО обновлять) его запросто ломанут.
>Ответ прост - ничем не грозит, а если выставляешь порты наружу, то
>на файерволл не надейся, не поможет - обновляй регулярно ПО и
>будешь счастлив...
Это что то новенькое.
Если закрыть 25 и 110 порты все равно проблемма взлома почтового сервера осталась? Если кувалдой по моему...

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от Андрей (??) on 09-Мрт-05, 17:14  (MSK)

>Это что то новенькое.
>Если закрыть 25 и 110 порты все равно проблемма взлома почтового сервера
>осталась? Если кувалдой по моему...
Нахера такой сервер нужен? Ты уж его лучше совсем выключи.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от Skif (??) on 10-Мрт-05, 11:30  (MSK)

>>ну это все равно что у вас нет фаервола.. а чот может
>>грозить серваку у которо нет фаервола?
>
>Меня всегда потешали люди считающие, что закрытие всех портов на сервере -
>насущная необходимость. Особенное тех, которые никто не слушает.
>А sendmail, http, https оставлять открытими и считать что они защищены, потому
;)
>как все остальное закрыто. Ну дык, объясните теперь, как можно ломануть
>сервер по портам, которые никто не слушает. Никак!
Ага а потом как нить заходишь на сервак и с удивлением обнаруживаешь что порт 5555 или 6666 или 7777 кто-то слушает и что-то активно даже качает. Прикрыв все и разрешив самое необходимые избегаешь неприятных сюрпризов в будущем. Будешь уверен, что ни один "товарищ" под jail или тому подобным не повесит свой сервис или службу.
Или у всех только standalone сервера, где кроме них никто не бывает?
>А через ваш любимый 5-ти летней давности sendmail (вы ж не ламер
>какой-нить ПО обновлять) его запросто ломанут.
;)
>Ответ прост - ничем не грозит, а если выставляешь порты наружу, то
>на файерволл не надейся, не поможет - обновляй регулярно ПО и
>будешь счастлив...
Это согласен
Хотя стоит вспомнить ssh, в котором все время что-то находят и начинаешь задумываться а не прикрыть его чем-то? А может вообще на другой порт повесить?

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "А что может грозить серваку при таких правилах firewalla???"

Сообщение от e719 (??) on 11-Мрт-05, 11:19  (MSK)

icmp рекомендую тоже зафильтровать. Хотя бы icmptype 5
А интересно, как это без udp у вас DNS будет работать? Вы его специально заставите использовать tcp, где allow from any to any? ;)
Подумайте, будете ли вы пропускать фрагментированные пакеты

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "А что может грозить серваку при таких правилах firewalla???"
Сообщение от crash (ok) on 09-Мрт-05, 16:05 (MSK)
>Всем доброго дня! >Меня вдруг заинтресовал следующий вопрос ( я не волшебник - я только >учусь): >есть сервер FreeBSD, >на внешнем интерфейсе никаких открытоых портов нет, >в файрволле прописаны следующие правила: >allow tcp from any to any via внешний интерфейс >deny icmp from any to any via внешний интерфейс >Что может грозить этому серверу???? ну это все равно что у вас нет фаервола.. а чот может грозить серваку у которо нет фаервола?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от IgorI (ok) on 09-Мрт-05, 16:12 (MSK)
	Но портов же нет открытых...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от Skif (??) on 09-Мрт-05, 16:26 (MSK)
	>Но портов же нет открытых... Да? Вы так уверены? а запустите ка nmap или или что-то подобное. Уверен, откроете для себя много чего интересного.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от aliv (??) on 09-Мрт-05, 16:32 (MSK)
	Тема и правда интересная. Давайте перечислим службы с возможно открытыми портати, ну скажем в конфигурации Generic
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от IgorI (ok) on 09-Мрт-05, 16:39 (MSK)
	>Тема и правда интересная. Давайте перечислим службы с возможно открытыми портати, ну >скажем в конфигурации Generic На netstat -a вываливается tcp4 localhost.smtp listen icm4 . как я понимаю, что localhost.smtp для посылки админу внутренних сообщений. так что получается снаружи открытых портов нет...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от Андрей (??) on 09-Мрт-05, 16:57 (MSK)
	>ну это все равно что у вас нет фаервола.. а чот может >грозить серваку у которо нет фаервола? Меня всегда потешали люди считающие, что закрытие всех портов на сервере - насущная необходимость. Особенное тех, которые никто не слушает. А sendmail, http, https оставлять открытими и считать что они защищены, потому как все остальное закрыто. Ну дык, объясните теперь, как можно ломануть сервер по портам, которые никто не слушает. Никак! А через ваш любимый 5-ти летней давности sendmail (вы ж не ламер какой-нить ПО обновлять) его запросто ломанут. Ответ прост - ничем не грозит, а если выставляешь порты наружу, то на файерволл не надейся, не поможет - обновляй регулярно ПО и будешь счастлив...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от aliv (??) on 09-Мрт-05, 17:04 (MSK)
	>>ну это все равно что у вас нет фаервола.. а чот может >>грозить серваку у которо нет фаервола? > >Меня всегда потешали люди считающие, что закрытие всех портов на сервере - >насущная необходимость. Особенное тех, которые никто не слушает. >А sendmail, http, https оставлять открытими и считать что они защищены, потому >как все остальное закрыто. Ну дык, объясните теперь, как можно ломануть >сервер по портам, которые никто не слушает. Никак! >А через ваш любимый 5-ти летней давности sendmail (вы ж не ламер >какой-нить ПО обновлять) его запросто ломанут. >Ответ прост - ничем не грозит, а если выставляешь порты наружу, то >на файерволл не надейся, не поможет - обновляй регулярно ПО и >будешь счастлив... Это что то новенькое. Если закрыть 25 и 110 порты все равно проблемма взлома почтового сервера осталась? Если кувалдой по моему...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от Андрей (??) on 09-Мрт-05, 17:14 (MSK)
	>Это что то новенькое. >Если закрыть 25 и 110 порты все равно проблемма взлома почтового сервера >осталась? Если кувалдой по моему... Нахера такой сервер нужен? Ты уж его лучше совсем выключи.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от Skif (??) on 10-Мрт-05, 11:30 (MSK)
	>>ну это все равно что у вас нет фаервола.. а чот может >>грозить серваку у которо нет фаервола? > >Меня всегда потешали люди считающие, что закрытие всех портов на сервере - >насущная необходимость. Особенное тех, которые никто не слушает. >А sendmail, http, https оставлять открытими и считать что они защищены, потому ;) >как все остальное закрыто. Ну дык, объясните теперь, как можно ломануть >сервер по портам, которые никто не слушает. Никак! Ага а потом как нить заходишь на сервак и с удивлением обнаруживаешь что порт 5555 или 6666 или 7777 кто-то слушает и что-то активно даже качает. Прикрыв все и разрешив самое необходимые избегаешь неприятных сюрпризов в будущем. Будешь уверен, что ни один "товарищ" под jail или тому подобным не повесит свой сервис или службу. Или у всех только standalone сервера, где кроме них никто не бывает? >А через ваш любимый 5-ти летней давности sendmail (вы ж не ламер >какой-нить ПО обновлять) его запросто ломанут. ;) >Ответ прост - ничем не грозит, а если выставляешь порты наружу, то >на файерволл не надейся, не поможет - обновляй регулярно ПО и >будешь счастлив... Это согласен Хотя стоит вспомнить ssh, в котором все время что-то находят и начинаешь задумываться а не прикрыть его чем-то? А может вообще на другой порт повесить?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "А что может грозить серваку при таких правилах firewalla???"
	Сообщение от e719 (??) on 11-Мрт-05, 11:19 (MSK)
	icmp рекомендую тоже зафильтровать. Хотя бы icmptype 5 А интересно, как это без udp у вас DNS будет работать? Вы его специально заставите использовать tcp, где allow from any to any? ;) Подумайте, будете ли вы пропускать фрагментированные пакеты
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх