Minimal firewall for end user

Минимальный firewall для конечного пользователя Исходить будем из того, что хост конечного пользователя, как правило, всегда лишь инициирует сетевые соединения (например, когда в браузере открывается некоторая WEB-страница), но, при этом, такой хост никак не должен обслуживать входящие соединения — то есть, не является ни сервером, ни роутером.

Having issues with scrub proto tcp reassemble tcp?

They might have been caused by tampering with TCP connection in transit. What kind? Well, in fact changing MSS with netfilter’s clamp or OpenVPN maxmss would cause establishing TCP connection to stall. Если при использовании scrub proto tcp reassemble tcp возникают проблемы, они могут быть вызваны манипуляциями с TCP-соединением на транзитной сети. Например, вследствие изменения MSS, которое […]

comment: option can only be used once — WHY?

1 iptables-restore v1.6.0: comment: option “–comment” can only be used once. Вообще говоря, возможно, что для некоторых модулей netfilter, повтор опции действительно может быть нежелательным, но вот повторы именно –comment вполне были бы «в тему»: -A INPUT -j ACCEPT -m comment –comment “MySQL” -p tcp –dport 3306 –comment “from backend:” -s 192.168.10.100 Пример, конечно, слегка надуман, […]

OpenBSD-фаервол PF для Mac OS X заплесневел

— по кр. мере, в его текущем состоянии (Yosemite, El Capitan). Будучи пользователем Mac OS X (“not only, but also”) довольно долгое время, я, конечно, в курсе попыток разработчиков Apple укомплектовать OS X пакетным фильтром — firewall’ом. Они сделали подход к FreeBSD’шному ipfw, но довольно быстро отказались от него, хотя, его останки всё ещё в […]