Re: Генератор правил файрвола
alex kuklin -> debian-russian@lists.debian.org @ Sat, 31 May 2008 13:34:33 +0400:
>> MAA> ,------[Alexander GQ Gerasiov 31/05/2008 01:09 (GMT +3)
>> MAA> | Господа, а чем сейчас модно генерировать правила файрвола?
>> MAA> | Понятно, что можно руками писать, но как-то слишком уж объемно
>> MAA> | получается. Можно (и сейчас так и сделано), в шелл скрипте пяток
>> MAA> | функций задать, чтобы правила попроще вылядели, но нет ли чего хорошего
>> MAA> | готового? И чтобы нат знало/умело. Shorewall?
>> MAA> `-----------------
>> MAA> Никогда не доверял правила фаервола никаким генерилкам.
>> MAA> Я сам знаю что мне надо и только это делаю. И я уверен что ни у какой
>> MAA> генерилки не снесет башку и за свой фаервол отвечаю только я сам.
>> MAA> NAT поднимается в 4 команды. 3 из них - iptables.
>>
>> Это только в ОЧЕНЬ ПРОСТОЙ конфигурации. И то... У меня вон на
>> квартирном роутере в таблице nat 10 правил. А если у тебя роутер с
>> двумя провайдерами, пятком VLAN'ов в локалке и тремя-четырьмя
>> серверами в DMZ...
>>
ak> А чем тебе в СЛОЖНОЙ конфигурации поможет генератор? Все равнот
ak> надо правила как-то описывать. Зачем создавать еще один формат их
ak> описания?
Он мне потом поможет избежать ошибок. Да, генератор начинается
буквально с именования по смыслу адресов и интерфейсов.
Т.е. используемый мной cpp - это уже генератор...
И еще. Если работает iptables-restore - стоит генерировать входной файл
для него, а не выдавать серию отдельных команд iptables. А то может
получиться очень больно.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Даже у столовой ложки есть регламент - ее мыть положено. Если этот регламент
не выполнять, рискуешь ботулизм заработать.
(c)vitus
Reply to: