From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <glas-sisyphus@m.gmane.org>
X-Injected-Via-Gmane: http://gmane.org/
To: sisyphus@lists.altlinux.org
From: =?KOI8-R?B?98HEyc0g6czMwdLJz87P1w==?= <master@usib.irkps.ru>
Date: Tue, 24 Apr 2007 22:21:36 +0900
Organization: =?KOI8-R?B?9dPPzNjFLfPJwsnS08vJyiDQz97Uwc3U?=
Message-ID: <f0l08u$jp2$1@sea.gmane.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8Bit
X-Complaints-To: usenet@sea.gmane.org
X-Gmane-NNTP-Posting-Host: 82.211.160.248
User-Agent: KNode/0.10.4
Sender: news <news@sea.gmane.org>
Subject: [sisyphus] =?koi8-r?b?/NfSycvBLCDJzMk/Li4=?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: master@usib.irkps.ru,
	ALT Linux Sisyphus discussion list <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 24 Apr 2007 13:22:14 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/f0l08u$jp2$1@sea.gmane.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

Вот было время - гарддог рулил; любой ламер мог им прикрыться вполне надёжно.

Нарисовалась идея чего-то подобного под етснетом соорудить.

Помните, наверное, что у некоторых сервисов есть не только порты (их
диапазон), с которых оные сервисы откликаются, но и диапазон, НА КОТОРЫЙ они
откликаются. Ведь можно всё это разбить на группы/алиасы, и воткнуть, скажем,
в файл services.fwtype , а в последствии попросту формировать правила
посредством таблиц+цепочек+алиасов по адресам, с которых (на которые) эти
правила разрешены.
При этом появляется реальная возможность УМОЛЧАЛЬНО выставить политики в ДРОП,
блин.

Например, игрушка. Пусть, для затравки, БФ-1942. Сервит клиентов по
определённым портам ТСР и UDP.

Пишем болванку типа:

BF1942 {dest-ports tcp(2901:2999,14567) udp(2900)}

В правиле пишем:

accept {BF1942} from address to address

Просто нужно следить за тем, чтоб синтаксис не пересекался в имеющихся
конфигурациях с нововведёнными. Скобки-кнопки и прочие
разграничители-диапазоны можно ж заюзать из тех символов, которые пока не
применяются.

Можно и посложнее примерчиков насочинять. Типа:

SRV {dest-ports tcp(2901:2999,14567) udp(2900); src-ports(from:to,else)
udp(some_port,one_more_port,from:to)

И в правиле:

accept {SRV} from address to address

...со всеми вытекающими.

Подстановки - отдельно, главное - чтоб отлаженные конфигурации при внедрении
не пострадали.

А ещё диапазон-алиасов насобирать. Можно сервисных тёзок, можно канонических,
типа:

priv: 0-1024
unpriv: 1025-66535

Ну, и т.д.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00