[Comm] простой конфигуратор файрвола

Алексей Шенцев =?iso-8859-1?q?ashen_=CE=C1_nsrz=2Eru?=
Пн Сен 3 16:18:38 MSD 2007


В сообщении от Monday 03 September 2007 15:58:00 Michael Shigorin написал(а):
> Да можно, можно.  Лучше тупо щёлкнуть в шаблонную конфигурацию,
> построенную человеком, который на фильтрах собаку съел, 

Видать я не до рос до сего в своё время. Так что пришлось осваивать правила 
iptables'а ... :) Пусть не знаток, но, то что нужно конторе делаю.

> чем на 
> своём опыте понимать, что tcp/25 наружу из локалки выпускать не
> стоит, SYN по входу хорошо бы рейтлимитить (как -- отдельный
> вопрос), ну и т.п. и т.д.

Лишним такое понимание ни когда не будет. И ни кто меня в этом не переубедит.

> Заканчивая тем, что после прочтения документации первый рабочий
> файрвол, который обычно строится -- это "всё открыто, заткнуты
> отдельные порты".  

Ой, а зачем же поступать по принципу "запрещено то, что не разрешено"? Это же 
не файервол получается, а голая степь с парой каменных баб, что закрывают 
совсем не то, что нужно ... 

> А все виденные болванки и скрипты, которые 
> стоили рассмотрения -- действительно исходили из рекомендации
> "всё закрыто, открываем по необходимости".

Вот по принципу "разрешено то, что не запрещено" я и строю свой файервол ...

> Так что пользоваться чужим знанием, подставляя в него свои IP
> -- для типовых случаев ни разу не зазорно.
А я и не говорю про это. Я говорю, что для десктопа нужно вороботать 
типовуюконфигурацию в общем случае, как пример, с расстановкой комментариев 
на русском что есть что и для чего предназначено. И положить сиё в файлик, 
типа example.iptables.desktop.alt,  как пример для изучения.

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen на nsrz.ru
XMPP: ashen на altlinux.org, AlexShen на jabber.ru
ICQ: 271053845


Подробная информация о списке рассылки community