Re: simple firewall
> On 2004.03.17 at 18:30:47 +1000, Den Ivanov wrote:
>
> > On 17 March 2004 16:40, Victor B. Wagner wrote:
> > > Не вижу ничего птичего в языке iptables. Все просто, всё понятно - вот
> > > это source , вот это destination, вот это interface, а вот сюда надо
> > > jump.
> > Тоесть ты считаешь что возможность писать
> > ---
> > interface any world
> > server ssh accept
> > ---
> > вместо
> > ---
>
> По-моему, вышепоскипанное не эквиалентно вышепроцитированному.
>
> > тебе не нужна?
>
> Не нужна. Не так часто я эти правила правлю.
Я не рискну утверждать, что разногласия по этому поводу экивалентны
разногласиям между остроконечниками и тупоконечниками, но некая тенденция
наблюдается.
Конечно, очень приятно, когда написал 5 строк в конфиге, и вот у дебя
наикрутейший firewall с тонкими _персонализированными_ настройками. Но.
Философия открытых систем предполагает, что юзер (не всегда обязательно, на
самом деле) а тем более админ _должны_ разбираться в том как устроена их
система, как все работает, где что лежит, кто чем дышит. В том числе и на
сетевом уровне. А если желания в этом разбиратся нет, то всегда можно нанять
специалиста который в этом таки разбирается, и пущай админит. (Купить
дорогую сиську с контрактом на поддержку и администрирование я как опцию
специально не рассматриваю, это все от лукавого :)
Такой строгий (и слегка фашиский) подход сильно смягчает наличие _полной_
документации в часности на ipchains, огромное количество опубликованных
примеров, а так-же легко дступных скриптов любого уровня сложности
(доступных где, не скажу).
Т.е. если мне нужен минимум, я пишу скрипт сам (вот он, simple firewall),
если нужно настрить потоньше, я ищу подходящий скрипт (просто скрипт, а не
пакет, сую куда хочу, вызываю откуда хочу, а они приемлемо документированны)
или иду в сортир на пару часов с доками. А просто ставить некий пакет типа
"черный ящик" с минимумом настроек, по меньшей мере глупо (IMHO).
AtGuard под Linux, блин, еще чего не хватало.
Salud.
Reply to: