[Comm] Prostoi konfigurator firewalla

[Comm] Prostoi konfigurator firewalla

[ALT Linux User]

ALD4 beta 2007-12-07.

Подскажите, пожалуйста, _простой_ конфигуратор файерволла в ALD4, как
раньше был guarddog в ALT Linux 3.0 Compact DVD.

Re: [Comm] Prostoi konfigurator firewalla

[Mikhail A. Pokidko]

Я бы предложил firestarter, но в бранче его нет, то в сизифе -
http://sisyphus.ru/srpm/firestarter/get

2007/9/3, ALT Linux User :
> ALD4 beta 2007-12-07.
>
> Подскажите, пожалуйста, _простой_ конфигуратор файерволла в ALD4, как
> раньше был guarddog в ALT Linux 3.0 Compact DVD.



-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Comm] Prostoi konfigurator firewalla

[Motsyo Gennadi aka Drool]

ALT Linux User пишет:
> ALD4 beta 2007-12-07.
> 
> Подскажите, пожалуйста, _простой_ конфигуратор файерволла в ALD4, как
> раньше был guarddog в ALT Linux 3.0 Compact DVD.

	http://fly.osdn.org.ua/~drool/guarddog/

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

Mikhail A. Pokidko" <mikhail.pokidko@gmail.com> 	
>Я бы предложил firestarter, но в бранче его нет, то в сизифе -
http://sisyphus.ru/srpm/firestarter/get

Прошу прощения, но firestarter не показался мне _простым_
конфигуратором файервола.


On 9/3/07, Motsyo Gennadi aka Drool <motsyo@gmail.com> wrote:

>         http://fly.osdn.org.ua/~drool/guarddog/

Большое спасибо! Скачалось и поставилось.

----

IMHO Странно, что его нет в ALD4 (по-крайней мере в бете 2007-12-07
нет). Вполне себе именно _десктопная вещь_. Простой и удобный.

Re: [Comm] Prostoi konfigurator firewalla

[Motsyo Gennadi aka Drool]

ALT Linux User пишет:
>>         http://fly.osdn.org.ua/~drool/guarddog/
> 
> Большое спасибо! Скачалось и поставилось.

	А заработало? ;-) Если да - может возметесь его поддерживать? А то он 
по ходу никому не нужен.

Re: [Comm] Prostoi konfigurator firewalla

[Alex Karpov]

[-- Attachment #1: Type: text/plain, Size: 860 bytes --]

В сообщении от Monday 03 September 2007 14:20:45 Motsyo Gennadi aka Drool 
написал(а):
> ALT Linux User пишет:
> >>         http://fly.osdn.org.ua/~drool/guarddog/
> >
> > Большое спасибо! Скачалось и поставилось.
>
> 	А заработало? ;-) Если да - может возметесь его поддерживать? А то он
> по ходу никому не нужен.

Графические конфигураторы для таких задач, как конфигурация брандмауэра - 
безусловное зло, поскольку задачка уровня сисадминистрирования, 
соответственно - требует понимания происходящего. 
Для более-менее сносного обращения с iptables непосрественно достаточно 
более-менее вдумчивого изучения iptables howto (даже в слегка прокисшем 
текущем переводе на русский) и iptables же tutorial (на opennet.ru есть на 
русском). [Для обращения как такового вдумчивость не обязательна.] 
Оба документа легко гуглятся. Ну и man iptables, естествено.


[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Prostoi konfigurator firewalla

[Шишков Евгений]

Alex Karpov пишет:
> В сообщении от Monday 03 September 2007 14:20:45 Motsyo Gennadi aka Drool 
> написал(а):
>> ALT Linux User пишет:
>>>>         http://fly.osdn.org.ua/~drool/guarddog/
>>> Большое спасибо! Скачалось и поставилось.
>> 	А заработало? ;-) Если да - может возметесь его поддерживать? А то он
>> по ходу никому не нужен.
> 
> Графические конфигураторы для таких задач, как конфигурация брандмауэра - 
> безусловное зло, поскольку задачка уровня сисадминистрирования, 
> соответственно - требует понимания происходящего. 
> Для более-менее сносного обращения с iptables непосрественно достаточно 
> более-менее вдумчивого изучения iptables howto (даже в слегка прокисшем 
> текущем переводе на русский) и iptables же tutorial (на opennet.ru есть на 
> русском). [Для обращения как такового вдумчивость не обязательна.] 
> Оба документа легко гуглятся. Ну и man iptables, естествено.
Для человека, который перелез с винды и компьютер ему нужен только для интернета/игр/офиса 
нет желания копаться в скриптах/конфигах. Ему хочется быстро и через графическое 
приложение настроить систему. И даже не пытайтесь переубедить. Лично у меня таких человек 
уже 37 штук.

Re: [Comm] Prostoi konfigurator firewalla

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 12:57:05 Шишков Евгений написал(а):
>Лично у меня таких человек уже 37 штук.
сочувствую ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

Motsyo Gennadi aka Drool  to ALT wrote:
>А заработало? ;-) Если да - может возметесь его поддерживать? А то он
по ходу никому не нужен.

Да, вроде заработало. Подробный тест пока не могу провести - машина в
локальной сети и nmap нет ни на одной машине. Инет - через роутер.

К сожалению, я не смогу поддерживать этот пакет. Просто не имею возможности.


On 9/3/07, Alex Karpov <karpov@altlinux.ru> wrote:

> Графические конфигураторы для таких задач, как конфигурация брандмауэра -
> безусловное зло, поскольку задачка уровня сисадминистрирования,
> соответственно - требует понимания происходящего.

Я понимаю происходящее. Guarddog даёт простой доступ к
конфигурированию разрешённых протоколов и меня это _полностью_
устраивает, поскольку для меня важнейший параметр - это соотношение
затраченного времени/усилий на полученный резулультат. Всё запретить,
а потом разрешить два-три протокола, простите, тратить на эту ерунду
около часа своего времени - я просто не могу себе позволить, при том,
что есть альтернатива, которая вместе со скачиванием, установкой и
настройкой заняло менее 5 минут.

Вы определяете задачи вселенскими категориями совершенно напрасно. Это
чистая _юзерская_ задача, делаемая на _десктопном_ дистрибутиве. Она
_обязана_ быть формализована и облегчена по самое нехочу. Это
находится за гранью добра и зла, если так вам понятнее.

Re: [Comm] Prostoi konfigurator firewalla

[Шишков Евгений]

Алексей Шенцев пишет:
> В сообщении от Monday 03 September 2007 12:57:05 Шишков Евгений написал(а):
>> Лично у меня таких человек уже 37 штук.
> сочувствую ...
Да ладно....
Я уже настроил всё.
В корпорации проще. Фаер один на входе в инет. Он всеми и рулит.
А вот дома - да. Человек остаётся один на один...

Re: [Comm] Prostoi konfigurator firewalla

[Motsyo Gennadi aka Drool]

Шишков Евгений пишет:
> Для человека, который перелез с винды и компьютер ему нужен только для интернета/игр/офиса 
> нет желания копаться в скриптах/конфигах. Ему хочется быстро и через графическое 
> приложение настроить систему. И даже не пытайтесь переубедить. Лично у меня таких человек 
> уже 37 штук.

	Полностью согласен. Базовые функции в guarddog достаточны. Большего 
человеку и не нужно. А было бы нужно - он бы не искал собачку :-)

Re: [Comm] Prostoi konfigurator firewalla

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 13:27:02 Шишков Евгений написал(а):
> В корпорации проще. Фаер один на входе в инет. Он всеми и рулит.
> А вот дома - да. Человек остаётся один на один...

Конфигурация у всех получилась примерно одна и та же, так? А не выложить ли её 
на f.i как пример и шаблон?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Prostoi konfigurator firewalla

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 13:22:44 ALT Linux User написал(а):
> Я понимаю происходящее. Guarddog даёт простой доступ к
> конфигурированию разрешённых протоколов и меня это _полностью_
> устраивает, поскольку для меня важнейший параметр - это соотношение
> затраченного времени/усилий на полученный резулультат. Всё запретить,
> а потом разрешить два-три протокола, простите, тратить на эту ерунду
> около часа своего времени - я просто не могу себе позволить, при том,
> что есть альтернатива, которая вместе со скачиванием, установкой и
> настройкой заняло менее 5 минут.
>
> Вы определяете задачи вселенскими категориями совершенно напрасно. Это
> чистая _юзерская_ задача, делаемая на _десктопном_ дистрибутиве. Она
> _обязана_ быть формализована и облегчена по самое нехочу. Это
> находится за гранью добра и зла, если так вам понятнее.

И согласен с вами как пользователем как таковым и не согласен с вами, как с 
пользователем линукса. Всё таки файервол не то, что можно настраивать тупым 
щёлканьем мишки. Думаю вам не лишним будет заглянуть на 
http://www.iptables.ru и просто почитать, что и как. Эта инфа лишней ни когда 
не будет.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

> И согласен с вами как пользователем как таковым и не согласен с вами, как с
> пользователем линукса.

А что, линукс - это какя-то особая система? Приставки
"мазохистическая" я что-то нигде не видел.... :)


> Всё таки файервол не то, что можно настраивать тупым
> щёлканьем мишки.

А, собственно, почему нет на _десктопе_?

>Думаю вам не лишним будет заглянуть на
> http://www.iptables.ru и просто почитать, что и как. Эта инфа лишней ни когда
> не будет.

Спасибо за совет.

Re: [Comm] Prostoi konfigurator firewalla

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 13:39:41 ALT Linux User написал(а):
> > И согласен с вами как пользователем как таковым и не согласен с вами, как
> > с пользователем линукса.
>
> А что, линукс - это какя-то особая система? Приставки
> "мазохистическая" я что-то нигде не видел.... :)

По сравнению с виндой тут надо сначала думать, что делаешь, а потом уже 
делать ... ;)

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Prostoi konfigurator firewalla

[Alex Karpov]

[-- Attachment #1: Type: text/plain, Size: 2135 bytes --]

В сообщении от Monday 03 September 2007 15:22:44 ALT Linux User написал(а):
> Motsyo Gennadi aka Drool  to ALT wrote:
> >А заработало? ;-) Если да - может возметесь его поддерживать? А то он
>
> по ходу никому не нужен.
>
> Да, вроде заработало. Подробный тест пока не могу провести - машина в
> локальной сети и nmap нет ни на одной машине. Инет - через роутер.
>
> К сожалению, я не смогу поддерживать этот пакет. Просто не имею
> возможности.
>
> On 9/3/07, Alex Karpov <karpov@altlinux.ru> wrote:
> > Графические конфигураторы для таких задач, как конфигурация брандмауэра -
> > безусловное зло, поскольку задачка уровня сисадминистрирования,
> > соответственно - требует понимания происходящего.
>
> Я понимаю происходящее. Guarddog даёт простой доступ к
> конфигурированию разрешённых протоколов и меня это _полностью_
> устраивает, поскольку для меня важнейший параметр - это соотношение
> затраченного времени/усилий на полученный резулультат. Всё запретить,
> а потом разрешить два-три протокола, простите, тратить на эту ерунду
> около часа своего времени - я просто не могу себе позволить, при том,
> что есть альтернатива, которая вместе со скачиванием, установкой и
> настройкой заняло менее 5 минут.
>
Ниже - некая абстракция, не более. Небольшие цепочки правил проще делать с 
помощью команды iptables, сохраняя понравившееся с помощью iptables-save.

cat /etc/sysconfig/iptables

# Приблизительно под заявленное
*filter
:INPUT DROP
:OUTPUT DROP
:FORWARD DROP
#Ниже - много одинаково устроенных правил
-A [цепочка] -p tcp -p [порт] -j ACCEPT

То же самое можно сделать интерактивно, с помощью команды iptables.
Вышеупомянутые доки читаются пару раз, не более - иначе брандмауэр бесполезен.

> Вы определяете задачи вселенскими категориями совершенно напрасно. Это
> чистая _юзерская_ задача, делаемая на _десктопном_ дистрибутиве. Она
> _обязана_ быть формализована и облегчена по самое нехочу. Это
> находится за гранью добра и зла, если так вам понятнее.

А Вы попробуйте (прочитавши доки, тут уж ничего не поделаешь) решить одну и ту 
же задачку непосредственно вручную и тем же сторожевым псом - что будет 
быстрее?

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

On 9/3/07, Alex Karpov <karpov@altlinux.ru> wrote:

> А Вы попробуйте (прочитавши доки, тут уж ничего не поделаешь) решить одну и ту
> же задачку непосредственно вручную и тем же сторожевым псом - что будет
> быстрее?

Спасибо за ссылки и примеры.

Однако, прошу понять, я не учусь на системного администратора линукс.
Я просто пытаюсь пользоваться десктопной системой.

Что же сложного - есть десктоп. Всё запретить, разрешить HTTP, HTTPS,
FTP, POP3 и SMTP. Это делает гуёвая утилитка, просто и быстро. С моим,
весьма скромным, уровнем знаний - справился за 1 минуту.

Назовите, пожалуйста, разумную причину для чтения дополнительной
документации, если и далее машина будет просто десктопом.

IMHO - консоль удобна: а) удалённо админить, б) если привык в) нет
другого выхода.

Re: [Comm] Prostoi konfigurator firewalla

[Faizov Alisher]

> Большое спасибо! Скачалось и поставилось.
Не подскажете как его настраивать? Или доку по нему на русском желательно, а 
то я как-то ставил разобраться не смог. Либо все отключалось, либо все 
включалось:) 

Re: [Comm] Prostoi konfigurator firewalla

[Шишков Евгений]

Алексей Шенцев пишет:
> В сообщении от Monday 03 September 2007 13:27:02 Шишков Евгений написал(а):
>> В корпорации проще. Фаер один на входе в инет. Он всеми и рулит.
>> А вот дома - да. Человек остаётся один на один...
> 
> Конфигурация у всех получилась примерно одна и та же, так? А не выложить ли её 
> на f.i как пример и шаблон?
Конфигурация чего? Файерволла?
Он у меня один и а всех машинах, которые ходят в интернет его вообще не установлено.

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

On 9/3/07, Faizov Alisher <alisher_faiz@rambler.ru> wrote:

> Не подскажете как его настраивать? Или доку по нему на русском желательно, а
> то я как-то ставил разобраться не смог. Либо все отключалось, либо все
> включалось:)

К сожалению, про документацию на guarddog по-русски мне ничего
неизвестно, никогда не искал, сам пользовался встроенным хелпом.

Упрощённо говоря, у Вас ьам изначально две зоны, local и internet.
Если выбрать internet и перейти к вкдладке protocols, то, следуя по
"дереву" там нужно отметить те протоколы (и сервисы), которыми вы
будете пользоваться с Вашей машины ходя в интернет. Мне хватает http,
https, ftp, pop3, smtp. Далее - по Вашему выбору, free cd database, к
примеру, можно открыть, если хотите автоопределения диска, который
собираетесь послушать.
И наоборот, если выбрать local и вкладку protocols, то там нужно
отметить то, что вы хотите что бы было доступным "от Вас" в интернет.
Я там обычно ничего не отмечаю. Что взять с десктопа... :)

В целом, хочется заметить, что если Вы не уверены в том, что и как
следует открывать, то, безусловно, данные здесь господами советы по
чтению документации по iptables, помогут Вам намного больше. Вы будете
чётко представлять себе механизм работы firewall'a и возможно, найдёте
настройку непосредственно через конфигурационный файл руками даже
более удобной.

Re: [Comm] Prostoi konfigurator firewalla

[Michael Shigorin]

On Mon, Sep 03, 2007 at 02:51:17PM +0600, Alex Karpov wrote:
> > >>         http://fly.osdn.org.ua/~drool/guarddog/
> > > Большое спасибо! Скачалось и поставилось.
> > А заработало? ;-) Если да - может возметесь его поддерживать?
> > А то он по ходу никому не нужен.
> Графические конфигураторы для таких задач, как конфигурация
> брандмауэра - безусловное зло, поскольку задачка уровня
> сисадминистрирования, соответственно - требует понимания
> происходящего. 

Поди только пойми iptables, если они для этого толком не
предназначены...

https://lists.altlinux.org/pipermail/office-server/2007-September/000012.html
(там же подборка имён пакетов)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Prostoi konfigurator firewalla

[Michael Shigorin]

On Mon, Sep 03, 2007 at 01:31:21PM +0400, Алексей Шенцев wrote:
> > В корпорации проще. Фаер один на входе в инет. Он всеми и
> > рулит.  А вот дома - да. Человек остаётся один на один...
> Конфигурация у всех получилась примерно одна и та же, так? А не
> выложить ли её на f.i как пример и шаблон?

http://fly.osdn.org.ua/~mike/docs/iptables-sample4router пойдёт?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Prostoi konfigurator firewalla

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 15:52:36 Michael Shigorin написал(а):
> http://fly.osdn.org.ua/~mike/docs/iptables-sample4router пойдёт?
Миш, вот это мне ни когда не подходило. Это же кто, куда хочет, туда и ходит. 
Что в инет от юзера, что из инета к юзеру. А не пример простейшей настройки 
фаейрвола  с защитой по протоколам и портам ... 
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] простой конфигуратор файрвола

[Michael Shigorin]

On Mon, Sep 03, 2007 at 01:34:20PM +0400, Алексей Шенцев wrote:
> И согласен с вами как пользователем как таковым и не согласен с
> вами, как с пользователем линукса. Всё таки файервол не то, что
> можно настраивать тупым щёлканьем мишки.

Да можно, можно.  Лучше тупо щёлкнуть в шаблонную конфигурацию,
построенную человеком, который на фильтрах собаку съел, чем на
своём опыте понимать, что tcp/25 наружу из локалки выпускать не 
стоит, SYN по входу хорошо бы рейтлимитить (как -- отдельный
вопрос), ну и т.п. и т.д.

Заканчивая тем, что после прочтения документации первый рабочий
файрвол, который обычно строится -- это "всё открыто, заткнуты
отдельные порты".  А все виденные болванки и скрипты, которые
стоили рассмотрения -- действительно исходили из рекомендации
"всё закрыто, открываем по необходимости".

Так что пользоваться чужим знанием, подставляя в него свои IP 
-- для типовых случаев ни разу не зазорно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Prostoi konfigurator firewalla

[Motsyo Gennadi aka Drool]

Faizov Alisher пишет:
>> Большое спасибо! Скачалось и поставилось.
> Не подскажете как его настраивать? Или доку по нему на русском желательно, а 
> то я как-то ставил разобраться не смог. Либо все отключалось, либо все 
> включалось:) 

	В указанной версии уже есть русский язык  ;-)
После установки собачка блокирует всб сеть, сразу, намертво :-) Вам 
потом нужно будет нарпотив нужных Вам протоколов поставить галочку что 
он разрешен.

Re: [Comm] Prostoi konfigurator firewalla

[Mikhail A. Pokidko]

2007/9/3, ALT Linux User:
> Mikhail A. Pokidko"
> >Я бы предложил firestarter, но в бранче его нет, то в сизифе -
> http://sisyphus.ru/srpm/firestarter/get
>
> Прошу прощения, но firestarter не показался мне _простым_
> конфигуратором файервола.
Имхо, он похож на любимый в виндоус-среде фаервол Outpost.
Для дома для десктопа очень удобный (firestarter, конечно)



-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Comm] Prostoi konfigurator firewalla

[Michael Shigorin]

On Mon, Sep 03, 2007 at 03:55:47PM +0400, Алексей Шенцев wrote:
> > http://fly.osdn.org.ua/~mike/docs/iptables-sample4router пойдёт?
> Миш, вот это мне ни когда не подходило. Это же кто, куда хочет,
> туда и ходит.  Что в инет от юзера, что из инета к юзеру. А не
> пример простейшей настройки фаейрвола  с защитой по протоколам
> и портам ... 

Что значит "из инета к юзеру"?!  Ты не покупайся на ACCEPT
в полиси, посмотри правила (цепочка tcprules, которой
заканчиваются INPUT и FORWARD).

Другое дело, что задачи ограничить _выход_ по портам/протоколам
действительно не было.  Ну так выкладывай свою болванку ;-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] простой конфигуратор файрвола

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 15:58:00 Michael Shigorin написал(а):
> Да можно, можно.  Лучше тупо щёлкнуть в шаблонную конфигурацию,
> построенную человеком, который на фильтрах собаку съел, 

Видать я не до рос до сего в своё время. Так что пришлось осваивать правила 
iptables'а ... :) Пусть не знаток, но, то что нужно конторе делаю.

> чем на 
> своём опыте понимать, что tcp/25 наружу из локалки выпускать не
> стоит, SYN по входу хорошо бы рейтлимитить (как -- отдельный
> вопрос), ну и т.п. и т.д.

Лишним такое понимание ни когда не будет. И ни кто меня в этом не переубедит.

> Заканчивая тем, что после прочтения документации первый рабочий
> файрвол, который обычно строится -- это "всё открыто, заткнуты
> отдельные порты".  

Ой, а зачем же поступать по принципу "запрещено то, что не разрешено"? Это же 
не файервол получается, а голая степь с парой каменных баб, что закрывают 
совсем не то, что нужно ... 

> А все виденные болванки и скрипты, которые 
> стоили рассмотрения -- действительно исходили из рекомендации
> "всё закрыто, открываем по необходимости".

Вот по принципу "разрешено то, что не запрещено" я и строю свой файервол ...

> Так что пользоваться чужим знанием, подставляя в него свои IP
> -- для типовых случаев ни разу не зазорно.
А я и не говорю про это. Я говорю, что для десктопа нужно вороботать 
типовуюконфигурацию в общем случае, как пример, с расстановкой комментариев 
на русском что есть что и для чего предназначено. И положить сиё в файлик, 
типа example.iptables.desktop.alt,  как пример для изучения.

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] простой конфигуратор файрвола

[Michael Shigorin]

On Mon, Sep 03, 2007 at 04:18:38PM +0400, Алексей Шенцев wrote:
> > Да можно, можно.  Лучше тупо щёлкнуть в шаблонную конфигурацию,
> > построенную человеком, который на фильтрах собаку съел, 
> Видать я не до рос до сего в своё время. Так что пришлось осваивать правила 
> iptables'а ... :) Пусть не знаток, но, то что нужно конторе делаю.

Я тоже рисовал свои правила, подглядывая в такие шаблоны, но не
кидая их as is (обычно это были скрипты, а мне это не нравилось).

Так что вполне понимаю, чего это стоит ;-)

> > чем на своём опыте понимать, что tcp/25 наружу из локалки
> > выпускать не стоит, SYN по входу хорошо бы рейтлимитить (как
> > -- отдельный вопрос), ну и т.п. и т.д.
> Лишним такое понимание ни когда не будет. И ни кто меня в этом
> не переубедит.

Hint: у меня есть знакомый, который работает на фирме водителем,
а сисадмином там же -- подрабатывает за плюс полтинник.
Поскольку оказался самым копенгаген в контуперах.

Так вот такому контингенту разобраться просто некогда, лучше
рабочие шаблоны, благо случаи обычно банальные донельзя --
требуются данные соединения с провайдером и адрес локалки.

> > Заканчивая тем, что после прочтения документации первый
> > рабочий файрвол, который обычно строится -- это "всё открыто,
> > заткнуты отдельные порты".  
> Ой, а зачем же поступать по принципу "запрещено то, что не
> разрешено"? Это же не файервол получается, а голая степь с
> парой каменных баб, что закрывают совсем не то, что нужно ... 

Потому что "как советуют" -- обычно сходу не получается.

У меня получилось сломать на своих файрволах такой дефолт только
через пару лет после начала освоения ipchains (если ещё не
ipfwadm, не помню, но вроде нет).

> > Так что пользоваться чужим знанием, подставляя в него свои IP
> > -- для типовых случаев ни разу не зазорно.
> А я и не говорю про это. Я говорю, что для десктопа нужно
> вороботать типовуюконфигурацию в общем случае, как пример, с
> расстановкой комментариев на русском что есть что и для чего
> предназначено. И положить сиё в файлик, типа
> example.iptables.desktop.alt,  как пример для изучения.

Сделаешь? ;-) (я с одной стороны -- уже, с другой -- утверждаю,
что нужна простая настраивалка для типовых случаев плюс ssh с
iptables)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] простой конфигуратор файрвола

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 16:25:19 Michael Shigorin написал(а):
> On Mon, Sep 03, 2007 at 04:18:38PM +0400, Алексей Шенцев wrote:
> > > Да можно, можно.  Лучше тупо щёлкнуть в шаблонную конфигурацию,
> > > построенную человеком, который на фильтрах собаку съел,
> >
> > Видать я не до рос до сего в своё время. Так что пришлось осваивать
> > правила iptables'а ... :) Пусть не знаток, но, то что нужно конторе
> > делаю.
>
> Я тоже рисовал свои правила, подглядывая в такие шаблоны, но не
> кидая их as is (обычно это были скрипты, а мне это не нравилось).
>
> Так что вполне понимаю, чего это стоит ;-)
>
> > > чем на своём опыте понимать, что tcp/25 наружу из локалки
> > > выпускать не стоит, SYN по входу хорошо бы рейтлимитить (как
> > > -- отдельный вопрос), ну и т.п. и т.д.
> >
> > Лишним такое понимание ни когда не будет. И ни кто меня в этом
> > не переубедит.
>
> Hint: у меня есть знакомый, который работает на фирме водителем,
> а сисадмином там же -- подрабатывает за плюс полтинник.
> Поскольку оказался самым копенгаген в контуперах.

Мда уж, чего в жизни только не бывает ... :)
>
> Так вот такому контингенту разобраться просто некогда, лучше
> рабочие шаблоны, благо случаи обычно банальные донельзя --
> требуются данные соединения с провайдером и адрес локалки.

Вот и я про это ...
>
> > > Заканчивая тем, что после прочтения документации первый
> > > рабочий файрвол, который обычно строится -- это "всё открыто,
> > > заткнуты отдельные порты".
> >
> > Ой, а зачем же поступать по принципу "запрещено то, что не
> > разрешено"? Это же не файервол получается, а голая степь с
> > парой каменных баб, что закрывают совсем не то, что нужно ...
>
> Потому что "как советуют" -- обычно сходу не получается.
>
> У меня получилось сломать на своих файрволах такой дефолт только
> через пару лет после начала освоения ipchains (если ещё не
> ipfwadm, не помню, но вроде нет).

Не, у меня первый вариант получился такой, что ни кто не смог не то что выйти 
в инет, а из локалки достучаться до сервака. Закрыд всё наглухо, а открыть 
что нужно сразу не смог ... :)
>
> > > Так что пользоваться чужим знанием, подставляя в него свои IP
> > > -- для типовых случаев ни разу не зазорно.
> >
> > А я и не говорю про это. Я говорю, что для десктопа нужно
> > вороботать типовуюконфигурацию в общем случае, как пример, с
> > расстановкой комментариев на русском что есть что и для чего
> > предназначено. И положить сиё в файлик, типа
> > example.iptables.desktop.alt,  как пример для изучения.
>
> Сделаешь? ;-) (я с одной стороны -- уже, с другой -- утверждаю,
> что нужна простая настраивалка для типовых случаев плюс ssh с
> iptables)

Ээээ ... А вот такое для старта не пойдёт:
http://www.freesource.info/wiki/PlayGround

???

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

On 9/3/07, Mikhail A. Pokidko <mikhail.pokidko@gmail.com> wrote:

> Имхо, он похож на любимый в виндоус-среде фаервол Outpost.
> Для дома для десктопа очень удобный (firestarter, конечно)

Простите, совершенно не понял, как им можно настроить что-либо :(
При попытке получить какой-лиьо хелп - ничего не происходит.

Re: [Comm] Prostoi konfigurator firewalla

[Mikhail A. Pokidko]

Help я проверю, а так - что непонятно? Можно в настройках соединения
настроить, а можно по-одному соединения разрешать.
Ну, на вкус и на цвет, как говорится...


2007/9/3, ALT Linux User :
> On 9/3/07, Mikhail A. Pokidko wrote:
>
> > Имхо, он похож на любимый в виндоус-среде фаервол Outpost.
> > Для дома для десктопа очень удобный (firestarter, конечно)
>
> Простите, совершенно не понял, как им можно настроить что-либо :(
> При попытке получить какой-лиьо хелп - ничего не происходит.
> _______________________________________________
> Community mailing list
> Community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community


-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

On 9/3/07, Mikhail A. Pokidko <mikhail.pokidko@gmail.com> wrote:
> Help я проверю, а так - что непонятно? Можно в настройках соединения
> настроить, а можно по-одному соединения разрешать.
> Ну, на вкус и на цвет, как говорится...

Ну вот, например, тот же упоминаемый guarddog по-умолчанию всё
запрещает. Затем, я разрешаю то, что мне нужно, попротокольно, или
попортово - как удобно.

Как, к примеру, в firestarter сделать тоже самое?

Извините, что спрашиваю, но просто хелпа с программой нет.

Re: [Comm] Prostoi konfigurator firewalla

[linuxsoid]

В сообщении от 3 сентября 2007 17:07 ALT Linux User написал
>
> Простите, совершенно не понял, как им можно настроить что-либо :(
> При попытке получить какой-лиьо хелп - ничего не происходит.
> _______________________________________________

mandriva linux powerpack 2007 = Вам поможет решить все проблемы, если не 
хотите разбираться и настраивать iptables, да и не только его, всё само 
ставиться из коробки а потом мышкой,мышкой,мышкой в панели управления,
захотите вникнуть в суть, нет проблем, все графические изменения настроек 
записываются в конфиг - файлы ... ;-)    

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

On 9/3/07, linuxsoid <linuxsoid@inbox.ru> wrote:

> mandriva linux powerpack 2007 = Вам поможет решить все проблемы, если не
> хотите разбираться и настраивать iptables, да и не только его, всё само
> ставиться из коробки а потом мышкой,мышкой,мышкой в панели управления,
> захотите вникнуть в суть, нет проблем, все графические изменения настроек
> записываются в конфиг - файлы ... ;-)

Этот дистрибутив (Mandriva Spring 2007.1 PP+) мной опробован. Восторга
после себя он не оставил.

Re: [Comm] простой конфигуратор файрвола

[Алексей Синицын]

03.09.07, Алексей Шенцев<ashen@nsrz.ru> написал(а):
> В сообщении от Monday 03 September 2007 16:25:19 Michael Shigorin написал(а):

> > Hint: у меня есть знакомый, который работает на фирме водителем,
> > а сисадмином там же -- подрабатывает за плюс полтинник.
> > Поскольку оказался самым копенгаген в контуперах.
>
> Мда уж, чего в жизни только не бывает ... :)
>

 А еще бывают просто домашние пользователи, которым нужен
интернет/мультимедия/офис, о которых уже вспоминали. Наверно никто не
станет утверждать, что железную дверь с замком домой нужно
проектировать и собирать самому? Как-то наверно лучше все-же
специалистов пригласить, хотя можно конечно озадачиться получить
слесарно-сварочный экспиринс...

 Надеюсь, совет таким пользователям идти на мандриву был скорее шуткой чем нет?

Re: [Comm] Prostoi konfigurator firewalla

[Gleb Kulikov]

В сообщении от Понедельник 03 сентября 2007 ALT Linux User написал:
> ALD4 beta 2007-12-07.
>
> Подскажите, пожалуйста, _простой_ конфигуратор файерволла в ALD4, как
> раньше был guarddog в ALT Linux 3.0 Compact DVD.

fwbuilder. очень приятная и грамотная вещь, в дистр входит.

guarddog категорически не рекомендую, натыкался на неправильное построение 
цепочек.

-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)
sip://20000204@sip.pctel.ru		(telephony)
netmail: 2:5005/78

Re: [Comm] Prostoi konfigurator firewalla

[Gleb Kulikov]

В сообщении от Понедельник 03 сентября 2007 Alex Karpov написал:

> Графические конфигураторы для таких задач, как конфигурация брандмауэра -
> безусловное зло, поскольку задачка уровня сисадминистрирования,

Нудапрямщазз. Понимание необходимо всегда и во всём, но вероятность сделать 
ошибку в многокилобайтном скрипте мало-мальски сложного файервола -- на 
порядки больше, чем в графическом визуализаторе.

> соответственно - требует понимания происходящего.

И одно (помощь и визуализатор) не отменяет другого (понимание и возможность 
просмотреть сгенерированные правила).

PS: fwbuilder.

-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)
sip://20000204@sip.pctel.ru		(telephony)
netmail: 2:5005/78

Re: [Comm] простой конфигуратор файрвола

[Gleb Kulikov]

В сообщении от Понедельник 03 сентября 2007 Michael Shigorin написал:
> отдельные порты".  А все виденные болванки и скрипты, которые
> стоили рассмотрения -- действительно исходили из рекомендации
> "всё закрыто, открываем по необходимости".

Для какой задачи? Для сервера -- согласен. Для домашней или э... 
"исследовательской" (то есть пользовательской в общем случае) машины? Вот тут 
не уверен. По определению с такой машины ходят куда угодно и по каким угодно 
портам (а часто и наоборот). Так что и подход "безусловно закрыто с 
недовоеренных адресов только опасное (rpc/nfs/xfs/smb/X11/xdmcp/smtp), всё 
остальное безусловно разрешено в обе стороны + поддержка против сканирования) 
--- вполне имеет право на жизнь.


-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)
sip://20000204@sip.pctel.ru		(telephony)
netmail: 2:5005/78

Re: [Comm] Prostoi konfigurator firewalla

[Alex Karpov]

[-- Attachment #1: Type: text/plain, Size: 1003 bytes --]

В сообщении от Tuesday 04 September 2007 08:38:16 Gleb Kulikov написал(а):
> В сообщении от Понедельник 03 сентября 2007 Alex Karpov написал:
> > Графические конфигураторы для таких задач, как конфигурация брандмауэра -
> > безусловное зло, поскольку задачка уровня сисадминистрирования,
>
> Нудапрямщазз. Понимание необходимо всегда и во всём, но вероятность сделать
> ошибку в многокилобайтном скрипте мало-мальски сложного файервола -- на
> порядки больше, чем в графическом визуализаторе.
>

s/'на порядки больше'/'ровно такая же или меньше'/, IMNSHO. Осилить 2 не самых 
больших и не самых замороченных доки на русском вряд ли сложнее, чем помощь 
для какого-либо строителя огненных стен.

> > соответственно - требует понимания происходящего.
>
> И одно (помощь и визуализатор) не отменяет другого (понимание и возможность
> просмотреть сгенерированные правила).
>

Безусловно, но тем не менее - мощь iptables не нуждается в надстройках. Скорее 
всего, впрочем, Вы в курсе :))

> PS: fwbuilder.



[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] простой конфигуратор файрвола

[Алексей Шенцев]

В сообщении от Monday 03 September 2007 21:02:56 Алексей Синицын написал(а):
>  А еще бывают просто домашние пользователи, которым нужен
> интернет/мультимедия/офис, о которых уже вспоминали. Наверно никто не
> станет утверждать, что железную дверь с замком домой нужно
> проектировать и собирать самому? Как-то наверно лучше все-же
> специалистов пригласить, хотя можно конечно озадачиться получить
> слесарно-сварочный экспиринс...

Вот по чему я и сказал, что нужен пример конфигурирования iptables для 
десктопа в дистрибе для общего случая, с описанием в комментариях что есть 
что и для чего.

>  Надеюсь, совет таким пользователям идти на мандриву был скорее шуткой чем
> нет?

Я этот совет не давал. Не путайте меня с другим подписчиком, давшим сей 
совет ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Prostoi konfigurator firewalla

[Mikhail A. Pokidko]

03.09.07, ALT Linux User написал(а):
> On 9/3/07, Mikhail A. Pokidko wrote:
> > Help я проверю, а так - что непонятно? Можно в настройках соединения
> > настроить, а можно по-одному соединения разрешать.
> > Ну, на вкус и на цвет, как говорится...
>
> Ну вот, например, тот же упоминаемый guarddog по-умолчанию всё
> запрещает. Затем, я разрешаю то, что мне нужно, попротокольно, или
> попортово - как удобно.
>
> Как, к примеру, в firestarter сделать тоже самое?
Примерно так же, при старте всё запрещено и разрешаются только нужные
соединения. Можно создавать правила вручную во вкладке Policy, а можно
смотреть в Active connections и вручную разрешать и запрещать.
У Firestarter есть особенность - вместе с гуйнёй для настройки
запускается firestarterd, который и вносит изменения правила
фильтрации на лету, без передёргивания iptables. (Впрочем, это же
самое является и минусом)


> Извините, что спрашиваю, но просто хелпа с программой нет.
Да, чего нет, того нет



-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Comm] простой конфигуратор файрвола

[Алексей Синицын]

04.09.07, Алексей Шенцев<ashen@nsrz.ru> написал(а):
> В сообщении от Monday 03 September 2007 21:02:56 Алексей Синицын написал(а):
> >  А еще бывают просто домашние пользователи, которым нужен
> > интернет/мультимедия/офис, о которых уже вспоминали. Наверно никто не
> > станет утверждать, что железную дверь с замком домой нужно
> > проектировать и собирать самому? Как-то наверно лучше все-же
> > специалистов пригласить, хотя можно конечно озадачиться получить
> > слесарно-сварочный экспиринс...
>
> Вот по чему я и сказал, что нужен пример конфигурирования iptables для
> десктопа в дистрибе для общего случая, с описанием в комментариях что есть
> что и для чего.
>

 Да, конечно.

 Но думаю очевидно, что строжевая собачка тоже имеет право на жизнь,
востребована и на своем месте необходима? Разные люди, разные цели,
разные задачи. Системному администратору она, естественно,
противопоказана.

 Для примеру, я-бы скептически посмотрел на гимп и шаблоны в качестве
рекомендации по вопросу об "обоях" на экран.

> >  Надеюсь, совет таким пользователям идти на мандриву был скорее шуткой чем
> > нет?
>
> Я этот совет не давал. Не путайте меня с другим подписчиком, давшим сей
> совет ...
>

 Да, конечно. Это было в тему обсуждения к приводимым с обоих сторон
аргументам, как пример приведенной крайней точки зрения. Если обидел -
приношу извинения.

Re: [Comm] Prostoi konfigurator firewalla

[Alex Karpov]

[-- Attachment #1: Type: text/plain, Size: 557 bytes --]

В сообщении от Monday 03 September 2007 14:20:45 Motsyo Gennadi aka Drool 
написал(а):
> ALT Linux User пишет:
> >>         http://fly.osdn.org.ua/~drool/guarddog/
> >
> > Большое спасибо! Скачалось и поставилось.
>
> 	А заработало? ;-) Если да - может возметесь его поддерживать? А то он
> по ходу никому не нужен.

Если никто не возражает - возьмусь я, заодно и перевод на русский доделаю.

> _______________________________________________
> Community mailing list
> Community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community



[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Prostoi konfigurator firewalla

[Sharavin Sergey]

В сообщении от 4 сентября 2007 Gleb Kulikov написал(a):
> В сообщении от Понедельник 03 сентября 2007 ALT Linux User написал:
> > ALD4 beta 2007-12-07.
> >
> > Подскажите, пожалуйста, _простой_ конфигуратор файерволла в ALD4, как
> > раньше был guarddog в ALT Linux 3.0 Compact DVD.
>
> fwbuilder. очень приятная и грамотная вещь, в дистр входит.
>
> guarddog категорически не рекомендую, натыкался на неправильное построение
> цепочек.

Да вот бы найти бы как настраивать по русски "fwbuilder"
всё таки собачка по проще в настройке имхо

Re: [Comm] Prostoi konfigurator firewalla

[Motsyo Gennadi aka Drool]

Alex Karpov пишет:
>>>>         http://fly.osdn.org.ua/~drool/guarddog/
> 
> Если никто не возражает - возьмусь я, заодно и перевод на русский доделаю.

	А можно понаглеть? :-) Никому не нужно это:
http://drool-linux.pisem.net/guidedog-1.0.0-alt4.drool.src.rpm
	? Того же автора.

Re: [Comm] Prostoi konfigurator firewalla

[Michael Shigorin]

On Tue, Sep 04, 2007 at 10:33:23AM +0600, Alex Karpov wrote:
> Безусловно, но тем не менее - мощь iptables не нуждается в
> надстройках.

Ещё как нуждается.  Только не сразу в графических, а сперва 
тех, которые более человекочитаемые правила превращают 
в low-level iptables speak.

Не всем нужны кирпичные дома, не все готовы за них платить.
Многим вполне кофмортно если не с панелями, то с пеноблоками.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Prostoi konfigurator firewalla

[Denis Medvedev]

Посмотрите еще пакет dwall.
-----Original Message-----
From: Sharavin Sergey <sharavin@sibmail.ru>
To: ALT Linux Community <community@lists.altlinux.org>
Date: Tue, 4 Sep 2007 19:58:56 +0700
Subject: Re: [Comm] Prostoi konfigurator firewalla

> В сообщении от 4 сентября 2007 Gleb Kulikov написал(a):
> > В сообщении от Понедельник 03 сентября 2007 ALT Linux 
User написал:
> > > ALD4 beta 2007-12-07.
> > >
> > > Подскажите, пожалуйста, _простой_ конфигуратор 
файерволла в ALD4, как
> > > раньше был guarddog в ALT Linux 3.0 Compact DVD.
> >
> > fwbuilder. очень приятная и грамотная вещь, в дистр 
входит.
> >
> > guarddog категорически не рекомендую, натыкался на 
неправильное построение
> > цепочек.
> 
> Да вот бы найти бы как настраивать по русски "fwbuilder"
> всё таки собачка по проще в настройке имхо
> _______________________________________________
> Community mailing list
> Community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

Уважаемые господа, хотелось бы сказать несколько общих слов.

Совершенно понятно, что проблема грамотной организации файрвола есть.
Она различается уровнем конфигурирования и собственно задачей, но тем
не менее, присутствует.

Поскольку на данный момент мы обсуждаем юзерский Desktop, мне бы
хотелось предложить к вашему обсуждению такой вариант:

нельзя ли встроить front-end для iptables прямо в альтератор? К чему
городить огород со сторонними фронтендами с неизвестными для
большинства юзеров названиями, когда логично было бы сделать свой,
понятный и удобный? Файервол - довольно критичный компонент системы,
непростой в настройке. Мне кажется полезным расположить фронтенд
iptables в том месте, где он должен быть - в общих настройках системы.

Логическая организация его должна быть проста:
интерфейс (eth?); общая политика файрволла: всё запретить, открывать
явно указываемое; всё разрешить, закрывать явно указываемое; moderate
- запретить большую часть, но заранее открыть все часто используемые
http, https, ftp, icq, torrent, freedb, sshd и т.п.

Далее - два окошка: запретить порт, открыть порт, куда просто можно
вписывать соответсвующее.

Хелп сделать маленьким и простым, главным образом включающим в себя
краткую справку по портам и какой сервис/демон/приложение обычно
пользуется каким портом.

Очень полезно было бы сделать тест только что настроенного с
соответствующей кнопкой "Тест", и выдачей результата по портам в
открывающееся окошко Kedit. Увидел открытый порт - просто копирнул его
в окошко для закрытых портов или наоборот.

Да, я прекрасно понимаю, что команда ALT Linux очень занята и у них
полно своих замечательных идей, мыслей и проектов.
Но поверьте - это делать всё равно придётся. По мере взросления
дистрибутива, очевидность централизации управления системой будет всё
более явной.
Главная задача IMHO - избежать "виндовости" решений, лишающей человека
возможности контролировать и понимать происходящее. В нашем же случае,
как мне кажется, интересующийся настройкой человек получит и то и
другое.

Re: [Comm] Prostoi konfigurator firewalla

[Motsyo Gennadi aka Drool]

ALT Linux User пишет:
> нельзя ли встроить front-end для iptables прямо в альтератор?

alterator-firewall - alterator firewall backend+fbi interface

	Я пробовал его на server4 - могу сказать что в SOHO-2.3 был удобнее и 
действеннее.

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

On 9/5/07, Motsyo Gennadi aka Drool <motsyo@gmail.com> wrote:

> alterator-firewall - alterator firewall backend+fbi interface


Наверное, я неточно выразился. Имелось ввиду добавить в alterator-browser-x11.

Re: [Comm] Prostoi konfigurator firewalla

[Евгений Терешков]

"ALT Linux User" пишет:

> нельзя ли встроить front-end для iptables прямо в альтератор? К чему
> городить огород со сторонними фронтендами с неизвестными для
> большинства юзеров названиями, когда логично было бы сделать свой,
> понятный и удобный? Файервол - довольно критичный компонент системы,
> непростой в настройке. Мне кажется полезным расположить фронтенд
> iptables в том месте, где он должен быть - в общих настройках системы.

И почему при прочтений этого письма мне на память сразу приходит
SuSEfirewall2 (как бы кощунствено это ни звучало)?

P.S.: alterator-firewall не видел, если что.

-- 
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru

Re: [Comm] Prostoi konfigurator firewalla

[Michael Shigorin]

On Wed, Sep 05, 2007 at 09:19:39AM +0400, ALT Linux User wrote:
> нельзя ли встроить front-end для iptables прямо в альтератор?

Предлагаю опять же FR на "Desktop 4.0".  Вот прям письмо 
и вставить, можно со ссылкой на тред.

А то я, конечно, форвардаю-баунсаю людям, но это всё ненадёжно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Prostoi konfigurator firewalla

[Maxim Tyurin]

Alex Karpov writes:

> В сообщении от Monday 03 September 2007 14:20:45 Motsyo Gennadi aka Drool 
> написал(а):
>> ALT Linux User пишет:
>> >>         http://fly.osdn.org.ua/~drool/guarddog/
>> >
>> > Большое спасибо! Скачалось и поставилось.
>>
>> 	А заработало? ;-) Если да - может возметесь его поддерживать? А то он
>> по ходу никому не нужен.
>
> Графические конфигураторы для таких задач, как конфигурация брандмауэра - 
> безусловное зло, поскольку задачка уровня сисадминистрирования, 
> соответственно - требует понимания происходящего. 
> Для более-менее сносного обращения с iptables непосрественно достаточно 
> более-менее вдумчивого изучения iptables howto (даже в слегка прокисшем 
> текущем переводе на русский) и iptables же tutorial (на opennet.ru есть на 
> русском). [Для обращения как такового вдумчивость не обязательна.] 
> Оба документа легко гуглятся. Ну и man iptables, естествено.

Как работает firewall и как его настроить с пом-ю iptables знать
конечно надо.
Только насчет того что хватает только самой iptables тут я не
согласен.
Когда в iptables больше 200-500 правил то в них уже без бутылки не
разобраться.
Тогда начинают писать скрипты которые генерят правила или ищут что-то
готовое что подходит под задачу.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Comm] Prostoi konfigurator firewalla

[ALT Linux User]

On 9/6/07, Michael Shigorin <mike@osdn.org.ua> wrote:
> On Wed, Sep 05, 2007 at 09:19:39AM +0400, ALT Linux User wrote:
> > нельзя ли встроить front-end для iptables прямо в альтератор?
>
> Предлагаю опять же FR на "Desktop 4.0".  Вот прям письмо
> и вставить, можно со ссылкой на тред.
>
> А то я, конечно, форвардаю-баунсаю людям, но это всё ненадёжно.

Если я Вас правильно понял :), то всё сделал, как Вы рекомендовали :)