User warning: The following module has moved within the file system: ldap_user. In order to fix this, clear caches or put the module back in its original location. For more information, see the documentation page. in _drupal_trigger_error_with_delayed_logging() (line 1181 of /usr/local/stow/drupal-7.89/lib/drupal-7.89/includes/bootstrap.inc).
בחתימת פונקצית ההוק יש לכם את כרטיסי הרשת שקשורים לפקטה, ועליכם להתייחס אליהם כאשר מדובר בכיוון.
בשום פנים ואופן אסור לפלטר לפי כתובת IP!
הרשת שבה אני בודק את התרגילים שונה לחלוטין מהרשת שלכם, חלק מהסיבה היא שלא יהיו חוקים מבוססי כתובת ספציפית. חומת האש שלכם צריכה לעבוד על כל רשת שבה תשימו אותה, ולא על כאלה עם כתובת ספציפית
1. So can we assume for now that every rule will have {srcIP=any, dstIP=any} ?
2. As for the eth1, eth2 - the meaning was eth1, eth2 in fw_devel ? Since eth1 is connected to host1 and eth2 is connected to host2, it makes sense to call them IN and OUT respectively.
Maxim:
1. No! You and I can write rules for a specific IP address and it should work. BUT - your "diraction" implementation SHOULD NOT be based on "10.0.1.1" and "10.0.2.2"
2. Of course. your topology in this firewall is this: internal network connected to eth1, and the outside world connected to eth2
Mor:
You can see the spoof1 rule to understand how direction should work:
We are not allowing internal address come inside our network (because no outside host can possibly have internal address) so direction of this rule is "in". same for spoof2
roeibh
Tue, 04/21/2015 - 10:59
Permalink
תשובה - חשוב מאד
בחתימת פונקצית ההוק יש לכם את כרטיסי הרשת שקשורים לפקטה, ועליכם להתייחס אליהם כאשר מדובר בכיוון.
בשום פנים ואופן אסור לפלטר לפי כתובת IP!
הרשת שבה אני בודק את התרגילים שונה לחלוטין מהרשת שלכם, חלק מהסיבה היא שלא יהיו חוקים מבוססי כתובת ספציפית. חומת האש שלכם צריכה לעבוד על כל רשת שבה תשימו אותה, ולא על כאלה עם כתובת ספציפית
moravar
Wed, 04/22/2015 - 09:49
Permalink
עדיין בכלל לא ברור
מה זה אומר חוקים של direction?
תוכל בבקשה לתת דוגמא?
חמישה חוקים באמת לא מספיקים כדי לכסות את כל הדרישות האלו, ודוגמא ממש תעזור....
maximbilim
Wed, 04/22/2015 - 21:02
Permalink
1. So can we assume for now
1. So can we assume for now that every rule will have {srcIP=any, dstIP=any} ?
2. As for the eth1, eth2 - the meaning was eth1, eth2 in fw_devel ? Since eth1 is connected to host1 and eth2 is connected to host2, it makes sense to call them IN and OUT respectively.
roeibh
Sun, 04/26/2015 - 10:31
Permalink
Answer
Maxim:
1. No! You and I can write rules for a specific IP address and it should work. BUT - your "diraction" implementation SHOULD NOT be based on "10.0.1.1" and "10.0.2.2"
2. Of course. your topology in this firewall is this: internal network connected to eth1, and the outside world connected to eth2
Mor:
You can see the spoof1 rule to understand how direction should work:
We are not allowing internal address come inside our network (because no outside host can possibly have internal address) so direction of this rule is "in". same for spoof2