В чем разница между использованием ipfw и hosts.deny с точки зрения безопасности?

Question

В чем разница между использованием ipfw и hosts.deny с точки зрения безопасности?

Я нахожусь в процессе защиты сервера OSX, который является целью сотен автоматических запросов в секунду с серверов в Китае, России и США (см. Восстановление сервера из открытого ретранслятора).

Я использовал ipfw установить правила, исключающие все, кроме локальных IP-запросов (т. е. 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).

В чем разница между настройкой ipfw правила и реализации аналогичных правил в hosts.allow/hosts.deny?

Насколько я понимаю, hosts файлы влияют на tcp-сервисы (поэтому могут быть не такими целостными, как ipfw). Означает ли это также, что они идут после брандмауэра (так что нет смысла использовать оба)?

2

security mac-osx-server ipfw denyhosts

Источник

brass-kazoo 29 авг '11 в 05:16

1 ответ

Решение

Другие вопросы по тегам security mac-osx-server ipfw denyhosts

mailq 29 авг '11 в 05:46 2011-08-29 05:46 · Accepted Answer · 2011-08-29 05:46

Файлы hosts.allow а также hosts.deny так сказать, устарели. Они в основном используются для tcp-wrapper и могут использоваться другими службами или приложениями. Но если они используются, зависит от реализации программы.

Использование брандмауэра является предпочтительным методом, потому что их правила основаны на IP-адресах, портах и других критериях. Брандмауэр не зависит от приложения, прослушивающего IP/ порт, и, следовательно, всегда перехватывает трафик.

И да hosts.* файлы эффективны после брандмауэра. Тем не менее, они вам не нужны.