AG>>> %SAMP IMAGE FUNCTION CALLERS AG>>> 30.2 kernel ipfw_chk ipfw_check_packet AG> [skip] EG>> Есть в правилах ipfw слово "me"? AG> Да есть. Фильтруется доcтуп к snmp/ssh
Перемести в /etc/hosts.allow
AG> А если вместо me прописать явным образом адреса в правилах, например через ipfw AG> table что-то изменится или тоже cамое,вид сбоку?
По сравнению с hosts.allow - вид сбоку.
EG>> Hу и вообще, желательно строить правила так, чтобы большинство EG>> пакетов проходили по минимальному количеству правил, EG>> как можно раньше уходя на allow или эквивалент, для этого EG>> можно использовать skipto. AG> Да так оно и есть. Дропаю входящие ко мне
Зачем? Фряхе всё по-барабану.
AG> потом netbios и порт 4444 (несколько AG> раз на него прилетало всякое непотребство)
Да и пусть летит, ядро и без пакетного фильтра всё заблочит: открой для себя sysctl net.inet.tcp.blackhole и net.inet.udp.blackhole
AG> и остальное в allow. AG> Hу ещё deny icmp from any to any in icmptype 5,9,13,14,15,16,17
Hе нужно низачем вообще.
EG>> В идеале для загруженной системы надо вообще отключать все пакетные EG>> фильтры, а доступ к ssh и прочим сервисам фильтровать средствами самих EG>> сервисов и/или через /etc/hosts.allow AG> Уху. Правда не уврен что net-snmp это умеет (вернее даже увtрен, что не умеет) AG> - по крайней мере ldd /usr/local/sbin/snmpd | grep wrap молчит,в отличие от AG> sshd.
А зачем тебе вообще net-snmpd? Используй штатный bsnmpd, он нормально фильтрует запросы по /etc/hosts.allow (имя сервиса snmpd).
EG>> Hо тут-то система недогружена сильно. AG> Ещё вариант повесить acl на 65 кошке, которая в данном случае по L2 смотрит на AG> bgp. Hо стоит ли?
Да у тебя система недогружена очень сильно, тебе вообще только из академического интереса можно всем этим заниматься.
