From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 3 Sep 2007 15:25:19 +0300 From: Michael Shigorin To: ALT Linux Community Message-ID: <20070903122519.GS22100@osdn.org.ua> Mail-Followup-To: ALT Linux Community References: <40babb620709030027v7d1bfb9aj7ff849341b26b973@mail.gmail.com> <200709031334.20103.ashen@nsrz.ru> <20070903115800.GL22100@osdn.org.ua> <200709031618.38131.ashen@nsrz.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <200709031618.38131.ashen@nsrz.ru> User-Agent: Mutt/1.4.2.1i Subject: Re: [Comm] =?koi8-r?b?0NLP09TPyiDLz87GycfV0sHUz9IgxsHK0tfPzME=?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 03 Sep 2007 12:25:19 -0000 Archived-At: List-Archive: List-Post: On Mon, Sep 03, 2007 at 04:18:38PM +0400, Алексей Шенцев wrote: > > Да можно, можно. Лучше тупо щёлкнуть в шаблонную конфигурацию, > > построенную человеком, который на фильтрах собаку съел, > Видать я не до рос до сего в своё время. Так что пришлось осваивать правила > iptables'а ... :) Пусть не знаток, но, то что нужно конторе делаю. Я тоже рисовал свои правила, подглядывая в такие шаблоны, но не кидая их as is (обычно это были скрипты, а мне это не нравилось). Так что вполне понимаю, чего это стоит ;-) > > чем на своём опыте понимать, что tcp/25 наружу из локалки > > выпускать не стоит, SYN по входу хорошо бы рейтлимитить (как > > -- отдельный вопрос), ну и т.п. и т.д. > Лишним такое понимание ни когда не будет. И ни кто меня в этом > не переубедит. Hint: у меня есть знакомый, который работает на фирме водителем, а сисадмином там же -- подрабатывает за плюс полтинник. Поскольку оказался самым копенгаген в контуперах. Так вот такому контингенту разобраться просто некогда, лучше рабочие шаблоны, благо случаи обычно банальные донельзя -- требуются данные соединения с провайдером и адрес локалки. > > Заканчивая тем, что после прочтения документации первый > > рабочий файрвол, который обычно строится -- это "всё открыто, > > заткнуты отдельные порты". > Ой, а зачем же поступать по принципу "запрещено то, что не > разрешено"? Это же не файервол получается, а голая степь с > парой каменных баб, что закрывают совсем не то, что нужно ... Потому что "как советуют" -- обычно сходу не получается. У меня получилось сломать на своих файрволах такой дефолт только через пару лет после начала освоения ipchains (если ещё не ipfwadm, не помню, но вроде нет). > > Так что пользоваться чужим знанием, подставляя в него свои IP > > -- для типовых случаев ни разу не зазорно. > А я и не говорю про это. Я говорю, что для десктопа нужно > вороботать типовуюконфигурацию в общем случае, как пример, с > расстановкой комментариев на русском что есть что и для чего > предназначено. И положить сиё в файлик, типа > example.iptables.desktop.alt, как пример для изучения. Сделаешь? ;-) (я с одной стороны -- уже, с другой -- утверждаю, что нужна простая настраивалка для типовых случаев плюс ssh с iptables) -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/