Re: Генератор правил файрвола
Eugene Berdnikov -> debian-russian@lists.debian.org @ Thu, 5 Jun 2008 21:50:52 +0400:
>> А если у кого действительно сложные правила файрвола, то ему вынужденно
>> придется пользоваться промежуточным языком.
EB> Можно пример сложного правила?
Любой набо правил, задействующий limit или TARPIT, если его надо
одинаково применить к нескольким интерфейсам или тем более - к
нескольким адресам и/или портам по отдельности. И то же самое - с
многоствольным роутингом, хотя это уже не файрвол.
Т.е. когда на каждое содержательно одно правило приходится несколько
строк iptables или ip, и это более чем в одном экземпляре.
EB> Зато я могу сказать, чем плох любой скриптовый язык для fw: тем,
EB> что невозможно текущую конфигурацию спасти в терминах этого языка,
Это да. trade-off. Между "уметь спасти" и "уметь прочесть". Я в этой
сделке "уметь прочесть" полагаю краевым условием. То бишь если я в
сохраненном один хрен запутаюсь и нужного не найду, то уметь спасти уже
не требуется. Все равно потом с нуля писать.
EB> а восстановление полного набора правил можно сделать только
EB> уничтожив всё, что на данный момент сидит в ядре.
А тут не вижу разницы с низким уровнем.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Творить - не делать! (c)Элхэ Ниеннах
Reply to: