[Comm] простой конфигуратор файрвола

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Пн Сен 3 16:25:19 MSD 2007


On Mon, Sep 03, 2007 at 04:18:38PM +0400, Алексей Шенцев wrote:
> > Да можно, можно.  Лучше тупо щёлкнуть в шаблонную конфигурацию,
> > построенную человеком, который на фильтрах собаку съел, 
> Видать я не до рос до сего в своё время. Так что пришлось осваивать правила 
> iptables'а ... :) Пусть не знаток, но, то что нужно конторе делаю.

Я тоже рисовал свои правила, подглядывая в такие шаблоны, но не
кидая их as is (обычно это были скрипты, а мне это не нравилось).

Так что вполне понимаю, чего это стоит ;-)

> > чем на своём опыте понимать, что tcp/25 наружу из локалки
> > выпускать не стоит, SYN по входу хорошо бы рейтлимитить (как
> > -- отдельный вопрос), ну и т.п. и т.д.
> Лишним такое понимание ни когда не будет. И ни кто меня в этом
> не переубедит.

Hint: у меня есть знакомый, который работает на фирме водителем,
а сисадмином там же -- подрабатывает за плюс полтинник.
Поскольку оказался самым копенгаген в контуперах.

Так вот такому контингенту разобраться просто некогда, лучше
рабочие шаблоны, благо случаи обычно банальные донельзя --
требуются данные соединения с провайдером и адрес локалки.

> > Заканчивая тем, что после прочтения документации первый
> > рабочий файрвол, который обычно строится -- это "всё открыто,
> > заткнуты отдельные порты".  
> Ой, а зачем же поступать по принципу "запрещено то, что не
> разрешено"? Это же не файервол получается, а голая степь с
> парой каменных баб, что закрывают совсем не то, что нужно ... 

Потому что "как советуют" -- обычно сходу не получается.

У меня получилось сломать на своих файрволах такой дефолт только
через пару лет после начала освоения ipchains (если ещё не
ipfwadm, не помню, но вроде нет).

> > Так что пользоваться чужим знанием, подставляя в него свои IP
> > -- для типовых случаев ни разу не зазорно.
> А я и не говорю про это. Я говорю, что для десктопа нужно
> вороботать типовуюконфигурацию в общем случае, как пример, с
> расстановкой комментариев на русском что есть что и для чего
> предназначено. И положить сиё в файлик, типа
> example.iptables.desktop.alt,  как пример для изучения.

Сделаешь? ;-) (я с одной стороны -- уже, с другой -- утверждаю,
что нужна простая настраивалка для типовых случаев плюс ssh с
iptables)

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/



Подробная информация о списке рассылки community