LINUX.ORG.RU
ФорумAdmin

Непонятное правило у Oskar-а в rc.DMZ.firewall.txt

 


0

3

Разбираю пример построения файра с участием DMZ и наткнулся вот на странное правило. Точнее, даже два правила, цитирую 

#
# From DMZ Interface to DMZ firewall IP
#

$IPTABLES -A INPUT -p ALL -i $DMZ_IFACE -d $DMZ_IP -j ACCEPT

#
# From LAN Interface to LAN firewall IP
#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT
То есть, он даёт полный доступ к гейту из дмз и локалки? Нахрена он это делает? Есть соображения? Может быть, я неверно понимаю смысл DMZ? В моём понимании, ДМЗ - это мешок, в котором сидят паблик сервисы. К которым ты можешь получать доступ из Сети/локалки. Но из самой ДМЗ ты можешь получить доступ только в Сеть, если разрешено. Я так понимаю, ломая машину с сервисом в ДМЗ, ты не попадаешь дальше ДМЗ, поскольку это мешок с одной дыркой. В этом случае неясно зачем давать полный доступ к гейту из ДМЗ. Видимо, я неверно понимаю. Что-то я запутался. Пните в нужном направлении, пожалуйста.

★★★★★

По второму правилу - обычная практика.
По первому - кроме ответа «ну вот захотелось так человеку», другого найти не могу. Но имхо это сильно не правильно.

anc ★★★★★
()
Ответ на: комментарий от anc

Но имхо это сильно не правильно.

Вот и мне так кажется. Так-то всё логично, кроме этого правила.

В общем, отмылил я ему вопрос. Может быть, ответит ))))

targitaj ★★★★★
() автор топика
Ответ на: комментарий от targitaj

Даже если предположить что мыло все еще рабочее, что-то мне подсказывает вряд ли он вспомнит зачем это писал 15 лет назад :)

anc ★★★★★
()
Ответ на: комментарий от anc

ааа... Ну да ладно, подожду, вдруг ответит.

targitaj ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin