* [sisyphus] Эврика, или?..
@ 2007-04-24 13:21 Вадим Илларионов
0 siblings, 0 replies; only message in thread
From: Вадим Илларионов @ 2007-04-24 13:21 UTC (permalink / raw)
To: sisyphus
Вот было время - гарддог рулил; любой ламер мог им прикрыться вполне надёжно.
Нарисовалась идея чего-то подобного под етснетом соорудить.
Помните, наверное, что у некоторых сервисов есть не только порты (их
диапазон), с которых оные сервисы откликаются, но и диапазон, НА КОТОРЫЙ они
откликаются. Ведь можно всё это разбить на группы/алиасы, и воткнуть, скажем,
в файл services.fwtype , а в последствии попросту формировать правила
посредством таблиц+цепочек+алиасов по адресам, с которых (на которые) эти
правила разрешены.
При этом появляется реальная возможность УМОЛЧАЛЬНО выставить политики в ДРОП,
блин.
Например, игрушка. Пусть, для затравки, БФ-1942. Сервит клиентов по
определённым портам ТСР и UDP.
Пишем болванку типа:
BF1942 {dest-ports tcp(2901:2999,14567) udp(2900)}
В правиле пишем:
accept {BF1942} from address to address
Просто нужно следить за тем, чтоб синтаксис не пересекался в имеющихся
конфигурациях с нововведёнными. Скобки-кнопки и прочие
разграничители-диапазоны можно ж заюзать из тех символов, которые пока не
применяются.
Можно и посложнее примерчиков насочинять. Типа:
SRV {dest-ports tcp(2901:2999,14567) udp(2900); src-ports(from:to,else)
udp(some_port,one_more_port,from:to)
И в правиле:
accept {SRV} from address to address
...со всеми вытекающими.
Подстановки - отдельно, главное - чтоб отлаженные конфигурации при внедрении
не пострадали.
А ещё диапазон-алиасов насобирать. Можно сервисных тёзок, можно канонических,
типа:
priv: 0-1024
unpriv: 1025-66535
Ну, и т.д.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
^ permalink raw reply [flat|nested] only message in thread
only message in thread, other threads:[~2007-04-24 13:21 UTC | newest]
Thread overview: (only message) (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-04-24 13:21 [sisyphus] Эврика, или? Вадим Илларионов
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git