[Sysadmins] [Comm] как использовать fqdn в правилах iptables?

Денис Черносов =?iso-8859-1?q?denis0=2Eru_=CE=C1_gmail=2Ecom?=
Вт Фев 5 11:58:42 MSK 2008 

05.02.08, Глодин С.В. <hlodin на komo.ua> написал(а):
>
> вівторок, 05-лют-2008, Денис Черносов написав:
> > 04.02.08, Anton Kvashin <foo на junior.esoo.ru> написал(а):
> > > Денис Черносов пишет:
> > > > В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо.
> > > > Потому что одно имя может иметь несколько ip или просто меняться
> > > > гораздо реже, чем ip.
> > >
> > > Внести блок адресов организации/конторы/провайдера. Сделать выборку
> > > интересующих вас, правда покрытие может быть шире.
> >
> > У нас есть головная компания.  А у неё есть сервера, к которым мы должны
> > без проблем подключаться. Они нам дают настройки в виде fqdn:port
>
> А не пробовали говорить с головной компанией по поводу поднятия любого
> типа
> VPN? При этом VPN-адресация будет постоянной и не нужно будет делать
> подобных
> извращений. Кстати, это нормальная, общепринятая практика в таких случаях.


Говорить с головной компанией вообще тяжело, а по данному вопросу и
бессмысленно. Потому что в большинстве других региональных офисов слова типа
VPN расшифровывать просто некому. Пытались внедрить, но потом отказались от
этого решения в пользу маленьких самописных программулек для интенсивного
добавления информации и веб-доступа для случаев "преимущественно для
чтения". Короче, "спасение утопающих..."


В принципе, на данном этапе открытие портов наружу даже для всей локальной
сети и на любой хост, не приводило к каким-то серьезным эксцессам. Но всё
когда-нибудь бывает впервые. Давать директору или кому-нибудь еще доступ во
все стороны потому что он директор - это не совсем разумно, имхо. На
компьютеры директоров трояны лезут также, как и на компьютеры остальных
сотрудников. Не хочется своим каналом и деньгами спонсировать спамеров и
прочих криминальных личностей.

Насколько я понял, выводы из дискуссии будут следующие: втыкать такие
[fqdn-based] правила в iptables - извращение. Нужно заводить прокси на
нужные случаи жизни и пользоваться ими. Дабы не путать слои фильтрации
трафика. Так?

Спасибо всем, кто принял участие в обсуждении!



--
> С уважением,
>                С.В. Глодин
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080205/254a03dd/attachment-0002.html>

Подробная информация о списке рассылки Sysadmins