LINUX.ORG.RU

Сообщения ladserg

 

iptbles: На сколько опасно пропускать все пакеты с состояниями RELATED и ESTABLISHED внутрь сети?

Форум — Security

Задача: раздавать доступ к Интернет по MAC-адресам (гаджетам, планшетам, телефонам и etc сотрудников, кои они регулярно и часто меняют и посему резервировать для них IP адреса накладно).

На шлюзе (Debian Linux) задействованы (для примера) вот такие правила:

MAC='08:00:27:25:AC:27'
INETDEV='eth0'
LOCALDEV='eth1'
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -t nat -A PREROUTING -m mac --mac-source $MAC -j MARK --set-mark 100
iptables -t nat -A POSTROUTING -m mark --mark 100 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source $MAC -i $LOCALDEV -o $INETDEV -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -i $INETDEV -o $LOCALDEV -j ACCEPT

Т.е. политика по умолчанию DROP, через цепочку FORWARD пропускаются наружу только пакеты с указанного MAC адреса, пакеты с указанного MAC-адреса идущие во вне маскарадятся, внутрь пускаются все пакеты со статусами соединения RELATED и ESTABLISHED.

Всё прекрасно работает, именно так как и было надо.

Вопрос, насколько опасно пропускать внутрь все пакеты установленных соединений, может ли это как то сказаться на безопасности при вышеуказанных правилах?

 , ,

ladserg ()

doxygen и переменные в PHP

Форум — Development

Как по человечески задокументировать переменные на PHP? При описании переменной в виде:

/** Абсолютный путь к файлам проекта */
$my_config['basePath']=dirname(__FILE__).DIRECTORY_SEPARATOR.'..';

Получаю в доке шлак вида:

$my_config ['basePath'] = dirname(__FILE__).DIRECTORY_SEPARATOR.'..'
Абсолютный путь к файлам проекта

А хотелось бы не видеть то что присваивается.

И сможет ли кто-то привести рабочий пример использования конструкции \var?

 ,

ladserg ()

exim4 доставка через самртхост, если не доставлено напрямую

Форум — Admin

Есть Exim4, всё настроено, всё бегает как мне надо. Есть работающие роутеры dnslookup(отправка напрямую) и smarthost(отправка через смартхост), по отдельности они работают корректно.

Как сделать, что бы если при отправке писем через роутер dnslookup произошел отказ в приеме письма, то письма слались бы через смартхост?

Например gmail.com переодически не хочет принимать письма от моего сервака, грит что то типа:

550-5.7.1 [XXX.XXX.XXX.XXX] The IP you're using to send mail is not authorized to
550-5.7.1 send email directly to our servers. Please use the SMTP relay at your
550-5.7.1 service provider instead. Learn more at
550 5.7.1 http://support.google.com/mail/bin/answ ... swer=10336 m9si3038539lae.120 - gsmtp

вот и хотелось бы, что бы в таких случаях письма шли через смартхост.

ladserg ()

RSS подписка на новые темы