[sisyphus] Эврика, или?..
Вадим Илларионов
=?iso-8859-1?q?master_=CE=C1_usib=2Eirkps=2Eru?=
Вт Апр 24 17:21:36 MSD 2007
Вот было время - гарддог рулил; любой ламер мог им прикрыться вполне надёжно.
Нарисовалась идея чего-то подобного под етснетом соорудить.
Помните, наверное, что у некоторых сервисов есть не только порты (их
диапазон), с которых оные сервисы откликаются, но и диапазон, НА КОТОРЫЙ они
откликаются. Ведь можно всё это разбить на группы/алиасы, и воткнуть, скажем,
в файл services.fwtype , а в последствии попросту формировать правила
посредством таблиц+цепочек+алиасов по адресам, с которых (на которые) эти
правила разрешены.
При этом появляется реальная возможность УМОЛЧАЛЬНО выставить политики в ДРОП,
блин.
Например, игрушка. Пусть, для затравки, БФ-1942. Сервит клиентов по
определённым портам ТСР и UDP.
Пишем болванку типа:
BF1942 {dest-ports tcp(2901:2999,14567) udp(2900)}
В правиле пишем:
accept {BF1942} from address to address
Просто нужно следить за тем, чтоб синтаксис не пересекался в имеющихся
конфигурациях с нововведёнными. Скобки-кнопки и прочие
разграничители-диапазоны можно ж заюзать из тех символов, которые пока не
применяются.
Можно и посложнее примерчиков насочинять. Типа:
SRV {dest-ports tcp(2901:2999,14567) udp(2900); src-ports(from:to,else)
udp(some_port,one_more_port,from:to)
И в правиле:
accept {SRV} from address to address
...со всеми вытекающими.
Подстановки - отдельно, главное - чтоб отлаженные конфигурации при внедрении
не пострадали.
А ещё диапазон-алиасов насобирать. Можно сервисных тёзок, можно канонических,
типа:
priv: 0-1024
unpriv: 1025-66535
Ну, и т.д.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
Подробная информация о списке рассылки Sisyphus