Средства безопасности IP ?

[Бурылов Александр]

Временно настроил NAT на сервере NW5.1 sp8, теперь в инет хожу через этот сервер (канал до провайдера ADSL)
Существуют ли встроенные средства безопасности IP, что бы прикрыть порты на ружу, а то как то неспокойно на душе
Развёртывать BM не буду, скоро будет готов шлюз на FreeBSD...

[Ковалев Артем]

ipfilter входит в сервер, по-моему.
Скажи filtcfg на консоле - если загрузиться - то это оно самое.

[Бурылов Александр]

Всё отлично есть такое дело
сразу вопрос , это схоже с IPSec ???
ну и самое главное где почитать талковую доку по настройке данных фильтров ???

[Ковалев Артем]

Хто такой ipsec - не знаю
Схоже это с очень примитивный firewall (типа упрощенного ipfw). А почитать можно тут http://search.novell.com/qfsearch/Searc ... b&x=12&y=3
ну и support порой. Если будут вопросы - спрашивай сюда, поможем

[Бурылов Александр]

Хто такой ipsec - не знаю

IPSec - Настройки безопасности IP

[Мещеряков Андрей]

Хто такой ipsec - не знаю

IPSec - Настройки безопасности IP

А как трактовать понятие безопасности - то? Откуда ветер дует, понятно Только вот насколько корректно это звонкое определение? Вначале вешаем потенциально кривые сервисы, потом переводим сеть на IP, визжим от радости, выставляем это "добро" по самые гениталии в Инет, а еще потом нам это дело крякают ... И начинаем закрывать порты, на которых сидят эти самые сервисы (кошка положительно знает, чье мясо съела, но на себя не стучит - ), придумываем разные "санитарные" термины для этого... А может, просто пристрелить эти самые сервисы? У меня 4.2 полгода смотрел в Инет БЕЗ пакетных фильтров... И стучались туда, могу прислать логи Типичный запрос:
"%SYSTEM_ROOT%\SYSTEM32\CMD.EXE ..(*(*%^%....."
Если не болеете - зачем лечиться?

[Бурылов Александр]

Какой то флейм начинается, есть конкретный вопрос...
а термин IPSec взят из w2k, есть там такая штука довольно неплохо работает
а болеем не болеем , всякое бывает...
да и кривых сервисов на ружу у меня не светит читаем первое сообщение...
ни к чему там в инете сервис NCP, LDPA, LDPAs...
что бы все могли почитать инфу из дерева, а учётку public закрывать тоже нельзя...

[Владимир Занадворов]

Technical Information Document
How to disable NCP on a server's IP interface. - TID10053676 (last modified 05NOV2001)
goal

How to disable NCP on a server's IP interface.
fact

Novell NetWare 5.0

Novell NetWare 5.1

Novell NetWare 5.0 Support Pack 5 (NW5SP5.EXE)
symptom

Clients are authenticating to a server via IPX when the server has more than one IP address and one of the addresses is not accessible.

NCP traffic is going out over a public IP interface.
fact

NCPIP.NLM version 1.34 Dated 2/22/00 included with NW5SP5 (or newer) is required.
fix

NCP is the NetWare Core Protocol, and is the mechanism by which Novell clients access NetWare resources such as NDS, the file systems, and printing. With NetWare 5.0 and above, it is possible to use NCP over IP as opposed to or in addition to NCP over IPX as in previous versions of NetWare. There are several reasons why you might want to disable NCP traffic on an IP interface.

1. You want dual-stack or CMD clients to attach to the server via IPX (for troubleshooting purposes, etc.).

2. You have IP bound to 2 interfaces and one of them is not accessible by clients but they are trying to attach to that interface, timing out, and eventually authenticating via IPX.

3. You are running a GroupWise server or an Internet-based service on the server and it uses a specific interface for communication but you want DS synchronization and other NCP services to occur via IP over a separate interface.

There are other reasons too numerous to list.

The syntax for the SET parameters is as follows:

SET NCP EXCLUDE IP ADDRESSES = (decimal IP address)
SET NCP INCLUDE IP ADDRESSES = (decimal IP address)

It is important to note that the excludes take precedence over the includes, so if you have the same address as an exclude and an include, it will be excluded regardless of the order in which the parameters were entered. It is not necessary to both include the NCP interface and exclude the non-NCP interface. One or the other will work. The parameters can be entered at the server console, in AUTOEXEC.NCF, or in Monitor under Server Parameters >> NCP. When you exclude an address, you will see the following on the server console:

The Network Address [UDP x.x.x.x:0524] has been deregistered as an NCP Service Address.

NCP Exclude IP Addresses is set to: x.x.x.x

The Network Address [TCP x.x.x.x:0524] has been deregistered as an NCP Service Address.

The settings show up in Monitor under Server Parameters >> NCP. If no addresses have been entered, the EXCLUDE parameter will have a value of NONE and the INCLUDE parameter will have a value of ALL.

For example, if you have a server with IP bound to 2 interfaces and one of them goes to the Internet, you might want to disable NCP traffic over the Internet interface for security reasons. The fictional IP address for the public interface is 200.100.50.25 and the internal interface is 10.20.30.40. To disable NCP on the Internet interface, either of the following SET parameters will accomplish the task:

SET NCP EXCLUDE IP ADDRESSES = 200.100.50.25

or

SET NCP INCLUDE IP ADDRESSES = 10.20.30.40


Document Title: How to disable NCP on a server's IP interface. - TID10053676
Document ID: 10053676
Creation Date: 31MAY2000
Modified Date: 05NOV2001