[Comm] Prostoi konfigurator firewalla
ALT Linux User
=?iso-8859-1?q?altlinux=2Emailbox_=CE=C1_gmail=2Ecom?=
Ср Сен 5 09:19:39 MSD 2007
Уважаемые господа, хотелось бы сказать несколько общих слов.
Совершенно понятно, что проблема грамотной организации файрвола есть.
Она различается уровнем конфигурирования и собственно задачей, но тем
не менее, присутствует.
Поскольку на данный момент мы обсуждаем юзерский Desktop, мне бы
хотелось предложить к вашему обсуждению такой вариант:
нельзя ли встроить front-end для iptables прямо в альтератор? К чему
городить огород со сторонними фронтендами с неизвестными для
большинства юзеров названиями, когда логично было бы сделать свой,
понятный и удобный? Файервол - довольно критичный компонент системы,
непростой в настройке. Мне кажется полезным расположить фронтенд
iptables в том месте, где он должен быть - в общих настройках системы.
Логическая организация его должна быть проста:
интерфейс (eth?); общая политика файрволла: всё запретить, открывать
явно указываемое; всё разрешить, закрывать явно указываемое; moderate
- запретить большую часть, но заранее открыть все часто используемые
http, https, ftp, icq, torrent, freedb, sshd и т.п.
Далее - два окошка: запретить порт, открыть порт, куда просто можно
вписывать соответсвующее.
Хелп сделать маленьким и простым, главным образом включающим в себя
краткую справку по портам и какой сервис/демон/приложение обычно
пользуется каким портом.
Очень полезно было бы сделать тест только что настроенного с
соответствующей кнопкой "Тест", и выдачей результата по портам в
открывающееся окошко Kedit. Увидел открытый порт - просто копирнул его
в окошко для закрытых портов или наоборот.
Да, я прекрасно понимаю, что команда ALT Linux очень занята и у них
полно своих замечательных идей, мыслей и проектов.
Но поверьте - это делать всё равно придётся. По мере взросления
дистрибутива, очевидность централизации управления системой будет всё
более явной.
Главная задача IMHO - избежать "виндовости" решений, лишающей человека
возможности контролировать и понимать происходящее. В нашем же случае,
как мне кажется, интересующийся настройкой человек получит и то и
другое.
Подробная информация о списке рассылки community