[Comm] Ferm
Dmytro O. Redchuk
=?iso-8859-1?q?dor_=CE=C1_ldc=2Enet?=
Вт Июн 14 14:49:35 MSD 2005
On Tue, Jun 14, 2005 at 02:24:25PM +0400, Anton Gorlov wrote:
> Здравствуйте, Nikolay.
>
> Вы писали 14 июня 2005 г., 14:16:49:
>
> >> А просто iptables уже не кошерно?
> > Как сказать... Смотря что требуется.
> > У меня лично желание писать что-либо своими руками сильно убавилось
> > после изучения книги "Брандмауэры в Linux" Роберта Зиглера. Одно дело,
> > когда достаточно десятка правил, написанных для конкретной машины и
> > забытых на пару-тройку лет. Другое, когда на машине несколько сетевых
> > интерфейсов, в настройки периодически вносятся изменения, имеется
> > желание блокировать входящие пакеты с левыми IP и т.д. Когда в скрипте
> > для настройки iptables появляется 400-500 правил, копаться в нём руками
> > становится грустно.
>
> Во-во. В настоящий момент насчитал 4 сетевых интерфейса... доступ к
> каждой службе рулится по отедельности (почта (причём
> отдьно: pop3,pop3s,imap,imaps),игрушки,аська,/etc). Писать всё
> руками.. просто самоубийством получается имхо. особенно если нужно
> изменить всего-то 1 правило из 480.
Я уже писал как-то...
Я делал набор скриптов (держал всё в cvs, конечно), который и запускал сам
firewall. После запуска -- service iptables save, если всё нормально.
В таком случае удобно всё документировать (комментировать, в частности),
причём можно делать отдельные скрипты (вызываемые из одного большого) для
каждого интерфейса и/или для accounting и/или для трансляций и/или для
маркирования и т.п.
Из одного большого скрипта удобно что-то вызывать/не вызывать --
комментировать какие-то вызовы по необходимости.
В разных комментированных "под-скриптах" удобно находить нужное место для
добавления чего-нить...
Точно не помню, давненько было, но у меня были "под-скрипты" input,
output, forward, in-acc, out-acc, а из них ещё и in-lucky, in-gt ...
А если нужно поменять одно только правило, то проблем вообще нет -- Вы же
знаете, *что* именно Вы хотите поменять?
iptables -R <chain> <rulenum> <rule-specification>
# (хотя не всегда, конечно, всё бывает так просто)
PS. Что касается "кошерно"/"некошерно" -- так все эти скрипты жутко
некошерные. Хотя бы потому, что это не инструмент. Это то, что
неловко показать :-) Хотя бы потому, что для каждого конкретного
случая -- свои вавки.
Но с другой стороны разные GUI тоже некошерные -- у них свои
недостатки.
Хочется золотой средины.
>
> --
> С уважением,
> Anton mailto:Pnz.Stalker на mail.ru
> FIDO: 2:5059/37
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
Подробная информация о списке рассылки community