[Desktop] ALT Linux Desktop Lite - firewall с дефолтными настройками

[Konstantin S. Uvarin]

On Sunday 14 October 2007 12:23:29 ALT Linux User wrote:

> Я за то, что бы по-умолчанию все порты были закрыты, а понимающий тот,
> кому это действительно нужно, сумеет кликнуть на две галки в ПОНЯТНЫХ
> и УДОБНЫХ местах alterator'a.

Почему бы тогда не приделать туда больше галок? Берем вывод lsof и даем 
следующую таблицу:

открыт?    номер_порта   традиционная_служба   пользователь   имя_процесса

При этом процессы пользователей c uid > 500 покрасить в другой цвет.

Знающий человек найдет в системе iptables, но в большинстве случаев такой 
таблицы будет достаточно для относительно комфортной работы большинства 
приложений. Особенно p2p, icq/jabber, voip и иже с ними.

Ну и отдельно -- альтератор и sshd, как гм... Критичные для безопасности. 

Кстати, как вариант можно указывать "доверенную сеть" и в ней разрешать больше 
сервисов. (Например, мы хотим p2p в локалке, но наружу у нас дорогой траффик) 
(ну, не говоря уже о том, чтобы рулить альтератором, лежа на диване с 
ноутбуком)

Тогда вместо галки у нас tristate: {none, lan, all}

Кто хочет сложнее, того все равно надо посылать на iptables-howto.

А, самое главное забыл -- тогда можно будет повесить по умолчанию забор aka -P 
INPUT DROP и по крайней мере избежать попадания на траффик при запуске skype 
на реальном ip.


P.S. Я был весьма расстроен, когда обнаружил, что iptables по умолчанию не 
запускается и не подцепляет /etc/sysconfig/iptables, заботливой рукой 
перенесенный со старой системы. Мне кажется, что это непорядок, даже если и 
предполагается варант "все открыто, файл пустой".

-- 
Konstantin S. Uvarin
"...пал жертвой храбрых..."