From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 14 Jun 2005 13:49:35 +0300 From: "Dmytro O. Redchuk" To: community@altlinux.ru Subject: Re: [Comm] Ferm Message-ID: <20050614104935.GF5300@ldc.net> Mail-Followup-To: community@altlinux.ru References: <1543369019.20050611222028@mail.ru> <20050612030223.771bd940@naf177.naf.net.ru> <13410034705.20050612110900@mail.ru> <42AE96F4.1020400@ricom.ru> <20050614141649.317b110a@naf177.naf.net.ru> <789361132.20050614142425@mail.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-u Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <789361132.20050614142425@mail.ru> User-Agent: Mutt/1.4.2.1i X-Virus-Scanned: clamd / ClamAV version 0.74, clamav-milter version 0.74a on backup.ldc.net X-Virus-Status: Clean X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 14 Jun 2005 10:49:44 -0000 Archived-At: List-Archive: List-Post: On Tue, Jun 14, 2005 at 02:24:25PM +0400, Anton Gorlov wrote: > Здравствуйте, Nikolay. > > Вы писали 14 июня 2005 г., 14:16:49: > > >> А просто iptables уже не кошерно? > > Как сказать... Смотря что требуется. > > У меня лично желание писать что-либо своими руками сильно убавилось > > после изучения книги "Брандмауэры в Linux" Роберта Зиглера. Одно дело, > > когда достаточно десятка правил, написанных для конкретной машины и > > забытых на пару-тройку лет. Другое, когда на машине несколько сетевых > > интерфейсов, в настройки периодически вносятся изменения, имеется > > желание блокировать входящие пакеты с левыми IP и т.д. Когда в скрипте > > для настройки iptables появляется 400-500 правил, копаться в нём руками > > становится грустно. > > Во-во. В настоящий момент насчитал 4 сетевых интерфейса... доступ к > каждой службе рулится по отедельности (почта (причём > отдьно: pop3,pop3s,imap,imaps),игрушки,аська,/etc). Писать всё > руками.. просто самоубийством получается имхо. особенно если нужно > изменить всего-то 1 правило из 480. Я уже писал как-то... Я делал набор скриптов (держал всё в cvs, конечно), который и запускал сам firewall. После запуска -- service iptables save, если всё нормально. В таком случае удобно всё документировать (комментировать, в частности), причём можно делать отдельные скрипты (вызываемые из одного большого) для каждого интерфейса и/или для accounting и/или для трансляций и/или для маркирования и т.п. Из одного большого скрипта удобно что-то вызывать/не вызывать -- комментировать какие-то вызовы по необходимости. В разных комментированных "под-скриптах" удобно находить нужное место для добавления чего-нить... Точно не помню, давненько было, но у меня были "под-скрипты" input, output, forward, in-acc, out-acc, а из них ещё и in-lucky, in-gt ... А если нужно поменять одно только правило, то проблем вообще нет -- Вы же знаете, *что* именно Вы хотите поменять? iptables -R # (хотя не всегда, конечно, всё бывает так просто) PS. Что касается "кошерно"/"некошерно" -- так все эти скрипты жутко некошерные. Хотя бы потому, что это не инструмент. Это то, что неловко показать :-) Хотя бы потому, что для каждого конкретного случая -- свои вавки. Но с другой стороны разные GUI тоже некошерные -- у них свои недостатки. Хочется золотой средины. > > -- > С уважением, > Anton mailto:Pnz.Stalker@mail.ru > FIDO: 2:5059/37 -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk