doldonius wrote:
pomorin wrote:
53 порт по TCP открыть имеет смысл только на своего проавайдера - и на тех, кто твои ДНСы содержит.
Я эту сетку еще только заселять начал, пока не определился, где точно будут остальные NS. А праздно любопытствующих BIND и сам посылать умеет.
искренний совет - делай 2 зоны (view которые): internal и external, к примеру. Для internal recursion включай, а для external - опаньки. С двумя зонами вообще очень удобно. Меньше париться. Особенно для локальных доменов, которые в инет выхода не имеют.
Quote:
Quote:
И, считается хорошим тоном закрыть все, а открывать только то, что необходимо.
Так и сделано (кроме OUTPUT -- если кто-то уже внутри, то всяко опаньки).
iptables -P INPUT REJECT тогда уж.

Да я так просто, ворчу по мелочи...
Quote:
Quote:
Дальше ты дропаешь форвард, а это не совсем есть хорошо, лучше REJECT, особенно из локалки - а то будут непонятные тормоза при сетевой работе.
Хм. Если у тачки один интерфейс, а кто-то пытается через нее чего-то куда-то просунуть, это всяко странно и подозрительно. Стоит ли этому типу давать знать, что он вообще куда-то попал?
Один интерфейс? Я бы на вторую карточку разорился бы... 120 руб - не деньги, зато проблем на 1200 меньше будет. А насчет форварда... Ну, скажем, полезла локальная машина за антивирусными базами в инет или винду обновить... Хост - то через ДНС разресолвится. И сидит в непонятках, пока по тайм - ауту отвалится...
Quote:
Quote:
Если /bin/rm -f /var/run/fw;, то лучше echo off >/var/run/fw Тогда логичнее будет.
Зато проверять проще: [[ -f /var/run/fw ]] -- и пофиг, что там внутри написано. Можно было бы просто /bin/touch /var/run/fw, но так вызовов внешних программ меньше получается.
Хозяин - барин. Главное, самому не запутаться.

Я про стиль написания просто замечание сделал.

(if 'cat /var/run/fw` - в смысле проверять)
Quote:
Quote:
ЗЗЫ Есть список резервных сетей IANA, которые официально никому не давались. Но, трафика с них прет... Где бы свежий список найти? Просто запретить трафик оттуда.
На сервере IANA поискать не пробовал?

Это слишком просто.

По whois - выдается, что такие сетки не делегированы, а реально - уже к Китаям да Бразилиям приписаны. Бардак, короче говоря. Или whois уже загнулся?
ЗЫ Я, будучи на арботе в Элсвязи, неписал скрыптик по ipchains еще, по поводу кому что куда мона и нельзя. Примерно 5 Кб без комментариев. Грандиозная работа была.

По новой писать - лень. Там из внешних файлов айпишники хулиганов подключались, и левые сетки отрубались... Думать много не надо было.

Но, стиль был примерно такой же, как и у тебя. (из iptables - HOWTO - если не видел, то рекомендую. Ссылку я тебе уже давал)