Re: Генератор правил файрвола

To: debian-russian@lists.debian.org
Subject: Re: Генератор правил файрвола
From: Alexey Boyko <alexey@boyko.km.ua>
Date: Wed, 4 Jun 2008 11:09:16 +0300
Message-id: <[🔎] 200806041109.16554.alexey@boyko.km.ua>
In-reply-to: <[🔎] 484630CC.9030206@of.pp.ru>
References: <20080531010914.128cc089@cs.msu.su> <[🔎] 48459152.20407@of.pp.ru> <[🔎] 484630CC.9030206@of.pp.ru>

Wednesday 04 June 2008 09:06:04 Oleg Frolkov написав:

> P.P.S. Использую я его в режиме генерации скрипта, а потом скрипт
> исполняю, в режиме самостоятельного
> применения правил не использую... и в автозагрузку тоже не ставлю...

А ferm --fast ferm.conf - пробовал? Я всегда так запускаю.
При этом он генерит правила в формате iptables-save и запускает iptables-
restore. дырки в защите вроде не будет.

А свои динамические цепочки я думал делать что-то вроде:

table filter {
	chain INPUT {
		inteface $INET {
			@include 'blacklist.ferm';
		}
	}
}

Скрипт модификации правил будет выглядеть примерно так:

#...
echo "saddr $banned_IP DROP;" >blacklist.ferm
ferm --fast /etc/ferm/ferm.conf
#...

(Ну примерно так, я ж не знаю твоей задачи)

Или так:

table nat {
	chain POSTROUTING {
		outerface ppp0 SNAT to-source $PPP_ADDR;
	}
}

а в /etc/ppp/ip-up.d/ferm :
ferm --fast --def '$PPP_ADDR=$4' /etc/ferm/ferm.conf

Это тоже довольно абстрактный пример. 

ps: результат генерирования правил ferm-ом  я иногда смотрю, но ещё ни разу на 
его глюки не попадал.

Reply to:

References:
- Re: Генератор правил файрвола
  - From: Oleg Frolkov <info@of.pp.ru>
- Re: Генератор правил файрвола
  - From: Oleg Frolkov <info@of.pp.ru>

Prev by Date: Re: Блокировка сетевых соединений
Next by Date: Re: Замерзание бриджей в XEN
Previous by thread: Re: Генератор правил файрвола
Next by thread: Re: Генератор правил файрвола
Index(es):
- Date
- Thread