Re: simple firewall
On 17 March 2004 16:40, Victor B. Wagner wrote:
> On 2004.03.17 at 16:12:48 +1000, Den Ivanov wrote:
> > On 17 March 2004 16:03, Victor B. Wagner wrote:
> > Я был абсолютно того-же мнения, пока пользовался FreeBSD и его ipfw с
> > синтаксисом максимально приближенным к человеческому, но на линуксе и
> > iptables с его птичьим языком я с тобой уже не соглашусь.
>
> Не вижу ничего птичего в языке iptables. Все просто, всё понятно - вот
> это source , вот это destination, вот это interface, а вот сюда надо
> jump.
Тоесть ты считаешь что возможность писать
---
interface any world
server ssh accept
---
вместо
---
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "IN-unknown:"
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -p tcp -m tcp --sport 22 --dport 1024:65535 -j ACCEPT
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "OUT-unknown:"
-A OUTPUT -j DROP
---
тебе не нужна?
>
> > Когда пытаешься привести к более-менее управляемому виду правила на
> > нескольких десятках серверов, в итоге получаешь тот-же самый
> > язык/препроцессор который уже кто-то делал до тебя.
>
> У серверов обычно проблем нет. У них вся конфигурация выглядит как
> полиси по умолчанию - deny, вот эти сервисы разрешить, потому что мы их
> предоставляем, ssh разрешить, чтобы рулить можно было, и всё.
Наверное не ошибусь, если скажу что 50% машин с линуксом - это
маршрутизаторы/nat/vpn/firewall в том или ином виде, а 50% оставшихся машин
требуют какой-либо нетривиальной настройки firewall.
Reply to: