st_re Опубликовано 6 октября, 2010 (изменено) · Жалоба Наверное если сервер стоит в 2-х шагах то да можно денай.. а если в соседней стране, а визы нету, то лучше таки accept иметь, на всяк случай... Да и сервисы, у меня по крайней мере, стартую апосля фаервола. Изменено 6 октября, 2010 пользователем st_re Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 6 октября, 2010 (изменено) · Жалоба Гуру из города пирогов с глазами возможно хотел указать на тот факт, что за время между стартом сети и загрузкой правил фаервола машинка беззащитна. Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов. Скипту никаких там нету, которые могли бы пропустить трафик именно к дефолтному правилу.В фидоэхах в свое время были срачи по поводу дефолтного правила. Аргументация была вида "успеют установиться нежелательные соединения, которые фаервол с keep-state правилами не отрежет. Потому как они уже установились. А с дефолт-правилом deny они не смогут установиться". Хоть тема ушла в сторону изначально речь шла конкретно о шейпере. Можете представить надежный шейпер ISP с таким дефолтным правилом? Особенно в случае ipfw управляемого по сети. Любая ошибка приведет к попаданию в дефолтное правило. В случае с accept это не шейпящий шейпер ну а deny может привести к тому что абоненты психанут и уйдут к тому у кого accept Изменено 6 октября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 6 октября, 2010 · Жалоба В моем случае шейпер совмещен с контроллером доступа, в конце стоит deny для юзерских сетей, у которых по дефолту должно стоять deny. Другое дело, что во первых все завязано на автоматику, отсюда возникают куча моментов касаемо перегрузки правил в файрволе и т.п. В общем в случае автоматики лучше не рисковать, ошибка может стоить дорогого, включая вой и исход на гавно от клиентов. Потом частенько приходится это все админить, находясь в таких захолустьях, что отваливания консоли с местным интернетом это дело привычное, а в подобном режиме администрирования, с параноидальным правилом, сервер можно потерять запросто, а для поднятия ехать за 2-3 тыс. км. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 октября, 2010 · Жалоба Гуру из города пирогов с глазами возможно хотел указать на тот факт, что за время между стартом сети и загрузкой правил фаервола машинка беззащитна. Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов. Скипту никаких там нету, которые могли бы пропустить трафик именно к дефолтному правилу.В фидоэхах в свое время были срачи по поводу дефолтного правила. Аргументация была вида "успеют установиться нежелательные соединения, которые фаервол с keep-state правилами не отрежет. Потому как они уже установились. А с дефолт-правилом deny они не смогут установиться". Что мешает в скрипт вливающий правила последней строчкой закинуть команду сброса текущих соединений? PF при запуске/выключении все соединения рвёт. PS: то что вы описали случилось у меня на ХРсп1 с только что появившимся встроенным фаером: только я задиалапился, как ко мне велчна залезла :) Я так и понял что это был лаг начала фильтрации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 6 октября, 2010 · Жалоба Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов. Это потому, что правила делались\переделывались на ходу. Да и при перезагрузке, желательно сократить время простоя абонентов (это роутер\шейпер) - так уж лучше пусть некоторое время без ограничений проработают. P.S> Сервер недоступен из Internet. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...