From: "Dmytro O. Redchuk" <dor@ldc.net> To: community@altlinux.ru Subject: Re: [Comm] Ferm Date: Tue, 14 Jun 2005 13:49:35 +0300 Message-ID: <20050614104935.GF5300@ldc.net> (raw) In-Reply-To: <789361132.20050614142425@mail.ru> On Tue, Jun 14, 2005 at 02:24:25PM +0400, Anton Gorlov wrote: > Здравствуйте, Nikolay. > > Вы писали 14 июня 2005 г., 14:16:49: > > >> А просто iptables уже не кошерно? > > Как сказать... Смотря что требуется. > > У меня лично желание писать что-либо своими руками сильно убавилось > > после изучения книги "Брандмауэры в Linux" Роберта Зиглера. Одно дело, > > когда достаточно десятка правил, написанных для конкретной машины и > > забытых на пару-тройку лет. Другое, когда на машине несколько сетевых > > интерфейсов, в настройки периодически вносятся изменения, имеется > > желание блокировать входящие пакеты с левыми IP и т.д. Когда в скрипте > > для настройки iptables появляется 400-500 правил, копаться в нём руками > > становится грустно. > > Во-во. В настоящий момент насчитал 4 сетевых интерфейса... доступ к > каждой службе рулится по отедельности (почта (причём > отдьно: pop3,pop3s,imap,imaps),игрушки,аська,/etc). Писать всё > руками.. просто самоубийством получается имхо. особенно если нужно > изменить всего-то 1 правило из 480. Я уже писал как-то... Я делал набор скриптов (держал всё в cvs, конечно), который и запускал сам firewall. После запуска -- service iptables save, если всё нормально. В таком случае удобно всё документировать (комментировать, в частности), причём можно делать отдельные скрипты (вызываемые из одного большого) для каждого интерфейса и/или для accounting и/или для трансляций и/или для маркирования и т.п. Из одного большого скрипта удобно что-то вызывать/не вызывать -- комментировать какие-то вызовы по необходимости. В разных комментированных "под-скриптах" удобно находить нужное место для добавления чего-нить... Точно не помню, давненько было, но у меня были "под-скрипты" input, output, forward, in-acc, out-acc, а из них ещё и in-lucky, in-gt ... А если нужно поменять одно только правило, то проблем вообще нет -- Вы же знаете, *что* именно Вы хотите поменять? iptables -R <chain> <rulenum> <rule-specification> # (хотя не всегда, конечно, всё бывает так просто) PS. Что касается "кошерно"/"некошерно" -- так все эти скрипты жутко некошерные. Хотя бы потому, что это не инструмент. Это то, что неловко показать :-) Хотя бы потому, что для каждого конкретного случая -- свои вавки. Но с другой стороны разные GUI тоже некошерные -- у них свои недостатки. Хочется золотой средины. > > -- > С уважением, > Anton mailto:Pnz.Stalker@mail.ru > FIDO: 2:5059/37 -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk
next prev parent reply other threads:[~2005-06-14 10:49 UTC|newest] Thread overview: 84+ messages / expand[flat|nested] mbox.gz Atom feed top 2005-06-11 18:20 Anton Gorlov 2005-06-11 23:02 ` Nikolay A. Fetisov 2005-06-12 7:09 ` Re[2]: " Anton Gorlov 2005-06-14 8:36 ` Alexey Morsov 2005-06-14 8:47 ` Re[2]: " Anton Gorlov 2005-06-14 8:58 ` Alexey Morsov 2005-06-14 10:15 ` Re[2]: " Anton Gorlov 2005-06-14 10:30 ` Alexey Morsov 2005-06-14 10:33 ` Re[2]: " Anton Gorlov 2005-06-14 10:39 ` Alexey Morsov 2005-06-14 10:42 ` Michael Isachenkov 2005-06-14 10:45 ` Re[2]: " Anton Gorlov 2005-06-14 10:58 ` Re[2]: [JT][Comm] Ferm Michael Isachenkov 2005-06-15 4:45 ` Mike Lykov 2005-06-15 5:43 ` Vasya Makarov 2005-06-15 8:09 ` [Comm] Q: smoke-room@ -- надо? Michael Shigorin 2005-06-15 8:13 ` Michael Isachenkov 2005-06-15 8:16 ` Anton Gorlov 2005-06-15 8:24 ` georginus 2005-06-15 8:32 ` Kondratenko Boris 2005-06-16 10:11 ` [Comm] Q: smoke-room@ -- надо? [JT] Владимир Гусев 2005-06-16 10:14 ` Michael Isachenkov 2005-06-16 10:50 ` Nick S. Grechukh 2005-06-16 21:08 ` [Comm] " Michael Shigorin 2005-06-17 10:32 ` Nick S. Grechukh 2005-06-15 8:35 ` [Comm] Q: smoke-room@ -- надо? Michael Isachenkov 2005-06-15 8:43 ` Mike Lykov 2005-06-15 8:55 ` Dmytro O. Redchuk 2005-06-15 8:57 ` Michael Isachenkov 2005-06-15 9:19 ` [Comm] Administrativia Michael Shigorin 2005-06-15 9:30 ` Michael Isachenkov 2005-06-15 8:58 ` Re[2]: [Comm] Q: smoke-room@ -- надо? georginus 2005-06-15 9:04 ` Denis Klykvin 2005-06-15 9:15 ` Alexey Morsov 2005-06-15 9:18 ` [Comm] Adm... по поводу udaff slang Michael Shigorin 2005-06-15 10:13 ` Re[2]: [Comm] Q: smoke-room@ -- надо? georginus 2005-06-15 10:18 ` Michael Isachenkov 2005-06-15 10:30 ` georginus 2005-06-15 9:05 ` Dmytro O. Redchuk 2005-06-18 21:28 ` Denis Smirnov 2005-06-15 8:41 ` Mike Lykov 2005-06-15 8:43 ` Беляев В. Н. 2005-06-16 6:17 ` Andrey Rahmatullin 2005-06-17 5:47 ` [Comm] Q: smoke-room@ -- надо? [JT] Vitaly Lipatov 2005-06-17 7:27 ` Pavel N. Solovyov 2005-06-17 9:22 ` Andrey Rahmatullin 2005-06-18 21:33 ` Denis Smirnov 2005-06-18 22:23 ` Vitaly Lipatov 2005-06-19 13:34 ` Diman Khanjin 2005-06-19 21:33 ` Vitaly Lipatov 2005-06-20 14:37 ` Dmitriy Khanjin 2005-06-19 14:29 ` Denis Smirnov 2005-06-19 2:36 ` Dmitriy Khanjin 2005-06-27 9:11 ` [Comm] " Arioch 2005-06-16 3:55 ` [Comm] Ferm Вадим Илларионов 2005-06-16 6:52 ` Alexey Morsov 2005-06-16 7:21 ` Re[2]: " Беляев В. Н. 2005-06-16 7:51 ` Mike Lykov 2005-06-16 8:00 ` Alexey Morsov 2005-06-16 23:22 ` Вадим Илларионов 2005-06-17 5:37 ` Alex Gorbachenko 2005-06-18 22:25 ` [Comm] Ferm [JT] Vitaly Lipatov 2005-06-21 10:04 ` alt 2005-06-17 6:38 ` [Comm] Ferm Alexey Morsov 2005-06-14 10:16 ` Nikolay A. Fetisov 2005-06-14 10:24 ` Re[2]: " Anton Gorlov 2005-06-14 10:32 ` Alexey Morsov 2005-06-14 10:37 ` Re[2]: " Anton Gorlov 2005-06-14 10:43 ` Alexey Morsov 2005-06-14 10:54 ` Re[2]: " Anton Gorlov 2005-06-14 11:03 ` [JT] " Alexey Morsov 2005-06-14 11:15 ` Re[2]: " Anton Gorlov 2005-06-14 11:22 ` [JT] " Dmytro O. Redchuk 2005-06-14 11:31 ` Anton Gorlov 2005-06-15 2:00 ` Re[2]: " Беляев В. Н. 2005-06-14 11:22 ` Alexey Morsov 2005-06-14 11:32 ` Re[2]: " Anton Gorlov 2005-06-14 11:49 ` Michael Isachenkov 2005-06-14 10:37 ` Andrii Dobrovol`s`kii 2005-06-14 10:49 ` Re[2]: " Anton Gorlov 2005-06-14 10:49 ` Dmytro O. Redchuk [this message] 2005-06-14 10:57 ` Anton Gorlov 2005-06-14 11:43 ` Nick S. Grechukh 2005-06-14 16:53 ` Maxim Tyurin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20050614104935.GF5300@ldc.net \ --to=dor@ldc.net \ --cc=community@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git