https://www.opennet.ru/openforum/vsluhforumID1/86939.html Здравствуйте, господа!<br><br>Волнует такой вопрос:<br>Какой интерфейс указывать(защищать) в качестве внешнего в правилах ipfw, прятать за nat-ом?<br>- Интерфейс сетевой карты network_interfaces (rlX,skX и т.д.)?<br>- Созданный ppp туннель tunХ ?<br><br>Специфика такая: ip-адрес, выданный провайдером динамический. <br><br>Предполагаю, что tun ближе к интернету, поэтому его и защищать?<br> <br> https://www.opennet.ru/openforum/vsluhforumID1/86939.html#5 Tue, 20 Oct 2009 13:54:09 GMT &gt;Я в такойже ситуации написал единые правила для всего, тоесть если разрешаем <br>&gt;то везде если мы хотим закрыть то тоже везде, однако, в <br>&gt;случае необходимости указывать интерфейс то не обламываюсь написать одно для "карточного" <br>&gt;и такое же для виртуального. <br><br>Хм... может это и правильно, но не могу судить, не зная всю схему.<br>У меня, например, сейчас стоит похожая задача:<br><br>роутер, 1 интерфейс в локалку, другой - наружу. Правила фаерволла и таблицы маршрутизации поднимаются автоматом на старте машины. После этого поднимается openvpn демон и создаёт свой tun0 интерфейс. <br>Так вот - вопрос сводится к тому, как грамотно прикрутить правила фаерволла и таблицы маршрутизации для этого tun0-интерфейса. <br>В скрипты, которые поднимают фаерволл/маршрутизацию на старте не запихнёш, ибо в этот момент интерфейс tun0 ещё не существует; тогда, получается, надо запихать в отдельный скрипт, который вызывать после старта openvpn демона, но тут опять заковыка: иногда приходится передёргивать правила ферволла и маршрутизац https://www.opennet.ru/openforum/vsluhforumID1/86939.html#4 Tue, 20 Oct 2009 09:59:44 GMT Я в такойже ситуации написал единые правила для всего, тоесть если разрешаем то везде если мы хотим закрыть то тоже везде, однако, в случае необходимости указывать интерфейс то не обламываюсь написать одно для "карточного" и такое же для виртуального.<br> https://www.opennet.ru/openforum/vsluhforumID1/86939.html#3 Mon, 19 Oct 2009 08:58:48 GMT &gt;Благодарю за ответ! <br>&gt;<br>&gt;Т.е. защищаем "карточные" интерфейсы, это я понял. <br>&gt;А, что, tuns тоже надо защищать при этом? <br>&gt;<br>&gt;Уточняю, на другом конце....опасны, опасный мир :) <br><br>Повторяю: защищать нужно всё. Но защищать с умом - в зависимости от выполняемых функций, среды обитания, и т.п. А среда обитания определяет потенциальные угрозы, от которых нужно защищаться. <br><br>respect,<br>ronin<br> https://www.opennet.ru/openforum/vsluhforumID1/86939.html#2 Mon, 19 Oct 2009 07:24:32 GMT Благодарю за ответ!<br><br>Т.е. защищаем "карточные" интерфейсы, это я понял.<br>А, что, tuns тоже надо защищать при этом?<br><br>Уточняю, на другом конце....опасны, опасный мир :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/86939.html#1 Mon, 19 Oct 2009 07:12:32 GMT &gt;[оверквотинг удален]<br>&gt;Волнует такой вопрос: <br>&gt;Какой интерфейс указывать(защищать) в качестве внешнего в правилах ipfw, прятать за nat-ом? <br>&gt;<br>&gt;- Интерфейс сетевой карты network_interfaces (rlX,skX и т.д.)? <br>&gt;- Созданный ppp туннель tunХ ? <br>&gt;<br>&gt;Специфика такая: ip-адрес, выданный провайдером динамический. <br>&gt;<br>&gt;Предполагаю, что tun ближе к интернету, поэтому его и защищать? <br>&gt;<br><br>Защищать нужно все интерфейсы. Если интересует теория - то в Вашем понимании интерфейсы rlX,skX - "самые внешние", ибо они физически присутствуют на машине, поднимаются со стартом машины, и через них машина напрямую взаимодействует с внешним миром. Интерфейсы tunХ создаются уже после того, как машина связалась с внешним миром. На "самых внешних" интерфейсах защита должна прикрывать машину от всего самого худшего, что можно себе представить, ведь не известо что там творится за пределами Вашей сети. А вот с интерфейсами tunХ не так. Всё зависит от того, куда созданы РРР коннекты, кто на тругом конце, контролируете ли Вы машину (