LINUX.ORG.RU
ФорумAdmin

Есть ли смысл в DROP ALL POLICY?


0

0

Есть небольшой офис, большинство машин под виндой, роутер с NAT на Debian. Есть ли смысл в iptables ставить политику DROP по умолчанию и разрешать только необходимый трафик? Защитит ли это хоть немного локальную сеть от нечисти(т.к антивирус не всегда все может выловить)? Или лучше не заморачиваться т.к это ничего не даст?

anonymous
Переезд с Oracle7 на Oracle 10g
SQUID proxy + router

Ну, как минимум, это защищает от ошибок админа (которые, увы, встречаются). И потом, когда не работает что-то необходимое, это, как правило, видно сразу.

Опять же, не надо проверять, какие сервисы запущены, какие нет -- уязвимо может быть только то, что торчит наружу.

В общем, смысл имеет.

И да. Рекомендую! http://www.opennet.ru/docs/RUS/iptables/

lodin ★★★★
()

Очень большая ошибка "админов с роутером с NAT", это оставлять безконтрольным цепочки OUTPUT, ибо при корректно настроенном выходе даже инфицированные и трояненные машины не дадут ни какого результата.

MaDMaN ★★
()
Ответ на: комментарий от MaDMaN

Не совсем понимаю. Все попытки нечисти вылезти за NAT будут фильтроваться в цепочке FORWARD. Output закрывать нужно только чтобы С СЕРВЕРА ничего "само по себе" не лезло в инет.

anonymous
()
Ответ на: комментарий от lodin

Конечно есть смысл!

Это очень повышает еспиренсы админа, что для чего надо, порты, протоколы. Просто выясняется. Но надо об этом помнить, еси что то не работает первым делом из за фаера.

anonymous
()
Ответ на: комментарий от MaDMaN

> Очень большая ошибка "админов с роутером с NAT", это оставлять безконтрольным цепочки OUTPUT, ибо при корректно настроенном выходе даже инфицированные и трояненные машины не дадут ни какого результата.

OUTPUT с FORWARD не путаем?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Переезд с Oracle7 на Oracle 10g
Admin
SQUID proxy + router