>> firewall всегда имеет смысл ставить и по умолчанию дропать пакеты, во-первых, защита >> от скана портов, во-вторых действие DROP предполагает просто сброс пакета, вместо >> поведения по умолчанию (к примеру, для TCP) - отсылки TCP RST >> пакета. Аналогично с UDP, только там отсылается icmp port unreachable. >> Есть еще такое, как zero-day vulnerabilities, так что, если сейчас голое ядро >> фрибсд от кривого пакета не падает, не факт, что такого не >> произойдет завтра или через неделю. >> По моему мнению, минимально настроенный файрволл обязателен для любого хоста, не важно, >> десктоп это, тостер, холодильник или сервер. > +100500, такие вещи как 22 порт вообще категорически рекомендуется фильтровать да и сменить дэфолтовый)
|