Administrace komentářů

Žádný nejlepší skript totiž neexistuje. Každý chce od firewallu něco jiného. Můžu vám klidně poslat svůj, ale má 22k (takže ho sem nebudu pastovat), pouští pár dalších věcí, aby se dynamicky nakonfiguroval podle toho, co mi DHCP přidělí, snaží se minimalizovat počet testů, kterými musí paket projít, než se rozhodne jeho osud, a už nějakou dobu se vyvíjí, takže obsahuje různá pravidla z opravdového /života vztahující se na domény a počítače, které z nějakého důvodu nemám (nebo naopak mám) rád, a nebudete mu nejspíš rozumět. K skriptu pana Šobáně bych měl pár věcí. Smysluplné udp/25 (např.) pakety jsem tedy v životě neviděl. Takže bych je ani nepovoloval. Akceptuje cokoli, co přijde např. z portu tcp/25 (např.) -- kromě SYN paketů, které zahodí, aniž by je ovšem zalogoval. Příliš nechápu, proč se logují pokusy o spojení na obskurní porty, zatímco na ty normální ne. Neřeší spoofing. Pakety z eth0 tvrdící, že jsou z 127.0.0.1 (např.), klidně projdou. Omezovat tímhle způsobem spojení z počítače ven je diskutabliní -- když se budu chtít podívat, jestli někde jede třeba samba (137) nebo fontserver (720?), musím shazovat/předělávat firewall. Nemluvě o tom, kdybych chtěl někoho portscannovat :o+ ESTABLISHED/RELATED bych testoval na začátku. Proč by měly pakety existujících spojení procházet všemi těmi testy? Pokud firewall funguje, tak se jiné spojení předně nemohlo navázat. Pokud vám nejede na počítači žádný server a nechcete řešit pasivní FTP (což tenhle skript taky neřeší), tak prostě povolte jen RELATED a ESTABLISHED pakety, SYN a udp pakety z vašeho počítače a loobpack & ICMP (šly by sice udělat restriktivněji, ale čert to vem). Bude to mít tak 15 řádků a vyjde to myslím nastejno.