От Good (внутренняя сеть) к Bad (внешняя сеть).
Внутренние ограничения:
- Позволить WWW, ftp, traceroute, ssh ко внешней сети
- Позволить SMTP к почтовому серверу
- Позволить POP-3 к почтовому серверу
- Позволить DNS к серверу имен
- Позволить rsync к веб серверу
- Позволить WWW к веб серверу
- Позволить ping к машине пакетной фильтрации
- Многие люди позволяют все из внутренней сети ко внешней сети, и затем добавляют ограничения. Мы -- тираны.
- Регистрационные нарушения.
- Пассивный FTP, обработанный модулем masq.
ipchains -A good-bad -p tcp --dport www -j MASQ ipchains -A good-bad -p tcp --dport ssh -j MASQ ipchains -A good-bad -p udp --dport 33434:33500 -j MASQ ipchains -A good-bad -p tcp --dport ftp --j MASQ ipchains -A good-bad -p icmp --icmp-type ping -j MASQ ipchains -A good-bad -j REJECT -l