[Comm] Ferm

Dmytro O. Redchuk =?iso-8859-1?q?dor_=CE=C1_ldc=2Enet?=
Вт Июн 14 14:49:35 MSD 2005


On Tue, Jun 14, 2005 at 02:24:25PM +0400, Anton Gorlov wrote:
> Здравствуйте, Nikolay.
> 
> Вы писали 14 июня 2005 г., 14:16:49:
> 
> >> А просто iptables уже не кошерно?
> > Как сказать... Смотря что требуется.
> > У меня лично желание писать что-либо своими руками сильно убавилось
> > после изучения книги "Брандмауэры в Linux" Роберта Зиглера. Одно дело,
> > когда достаточно десятка правил, написанных для конкретной машины и
> > забытых на пару-тройку лет. Другое, когда на машине несколько сетевых
> > интерфейсов, в настройки периодически вносятся изменения, имеется
> > желание блокировать входящие пакеты с левыми IP и т.д. Когда в скрипте
> > для настройки iptables появляется 400-500 правил, копаться в нём руками
> > становится грустно.
> 
> Во-во. В настоящий момент насчитал 4 сетевых интерфейса... доступ к
> каждой службе рулится по отедельности (почта (причём
> отдьно: pop3,pop3s,imap,imaps),игрушки,аська,/etc). Писать всё
> руками.. просто самоубийством получается имхо. особенно если нужно
> изменить всего-то 1 правило из 480.
Я уже писал как-то...

Я делал набор скриптов (держал всё в cvs, конечно), который и запускал сам
firewall. После запуска -- service iptables save, если всё нормально.

В таком случае удобно всё документировать (комментировать, в частности),
причём можно делать отдельные скрипты (вызываемые из одного большого) для
каждого интерфейса и/или для accounting и/или для трансляций и/или для
маркирования и т.п.

Из одного большого скрипта удобно что-то вызывать/не вызывать --
комментировать какие-то вызовы по необходимости.

В разных комментированных "под-скриптах" удобно находить нужное место для
добавления чего-нить...


Точно не помню, давненько было, но у меня были "под-скрипты" input,
output, forward, in-acc, out-acc, а из них ещё и in-lucky, in-gt ...



А если нужно поменять одно только правило, то проблем вообще нет -- Вы же
знаете, *что* именно Вы хотите поменять?

   iptables -R <chain> <rulenum> <rule-specification>
   # (хотя не всегда, конечно, всё бывает так просто)

PS.  Что касается "кошерно"/"некошерно" -- так все эти скрипты жутко
     некошерные. Хотя бы потому, что это не инструмент. Это то, что
     неловко показать :-) Хотя бы потому, что для каждого конкретного
     случая -- свои вавки.
     Но с другой стороны разные GUI тоже некошерные -- у них свои
     недостатки.
     Хочется золотой средины.

> 
> -- 
> С уважением,
>  Anton                          mailto:Pnz.Stalker на mail.ru
>                                      FIDO: 2:5059/37

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk




Подробная информация о списке рассылки community