On Sun, Jun 22, 2008 at 3:53 PM, Chuck Anderson <<a href="mailto:cra@wpi.edu">cra@wpi.edu</a>> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Sun, Jun 22, 2008 at 12:06:44PM -0700, Andrew Farris wrote:<br>
> Izhar Firdaus wrote:<br>
> There is no service which requires a firewall to be turned off... that does<br>
> not exist.  What they require is configuration to function with the<br>
> firewall on. Improvement of the firewall configuration tool would certainly<br>
> be a good step forward, and perhaps more automated configuration via upnp,<br>
> but turning it off is definitely the wrong move... no matter what service<br>
> you're trying to get through it.<br>
<br>
</div>Why do we need a firewall when you can easily prevent services from<br>
being accessed...just stop the service!  Don't bind to the port, and<br>
it won't be possible to connect to it.</blockquote><div><br>Yes, the correct thing to do for local security is use something like selinux to prevent things from binding to interfaces/ports they shouldn't be binding to in the first place. Using iptables for this is a completely unsustainable hack. iptables firewalling is for machines that route packets to other machines.<br>
<br>Unfortunately for some reason network devices are exempt from the "everything is a file" architecture thus don't recieve the benefit of the pre-existing filesystem access control architecture.<br></div></div>