[sisyphus] Эврика, или?..

[Вадим Илларионов]

Вот было время - гарддог рулил; любой ламер мог им прикрыться вполне надёжно.

Нарисовалась идея чего-то подобного под етснетом соорудить.

Помните, наверное, что у некоторых сервисов есть не только порты (их
диапазон), с которых оные сервисы откликаются, но и диапазон, НА КОТОРЫЙ они
откликаются. Ведь можно всё это разбить на группы/алиасы, и воткнуть, скажем,
в файл services.fwtype , а в последствии попросту формировать правила
посредством таблиц+цепочек+алиасов по адресам, с которых (на которые) эти
правила разрешены.
При этом появляется реальная возможность УМОЛЧАЛЬНО выставить политики в ДРОП,
блин.

Например, игрушка. Пусть, для затравки, БФ-1942. Сервит клиентов по
определённым портам ТСР и UDP.

Пишем болванку типа:

BF1942 {dest-ports tcp(2901:2999,14567) udp(2900)}

В правиле пишем:

accept {BF1942} from address to address

Просто нужно следить за тем, чтоб синтаксис не пересекался в имеющихся
конфигурациях с нововведёнными. Скобки-кнопки и прочие
разграничители-диапазоны можно ж заюзать из тех символов, которые пока не
применяются.

Можно и посложнее примерчиков насочинять. Типа:

SRV {dest-ports tcp(2901:2999,14567) udp(2900); src-ports(from:to,else)
udp(some_port,one_more_port,from:to)

И в правиле:

accept {SRV} from address to address

...со всеми вытекающими.

Подстановки - отдельно, главное - чтоб отлаженные конфигурации при внедрении
не пострадали.

А ещё диапазон-алиасов насобирать. Можно сервисных тёзок, можно канонических,
типа:

priv: 0-1024
unpriv: 1025-66535

Ну, и т.д.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00