Re: Генератор правил файрвола
On Sat, Jun 07, 2008 at 08:55:50PM +0400, Oleg Frolkov wrote:
> Да во многих случаях удобнее. Я честно говоря не совсем понял про:
>
> iptables -A FORWARD -i int -j fw:int
>
> т.е у Вас интерфейсы переименованы?
Да, мне так удобно.
> Я честно говоря подобным не пользуюсь... и точно
> не знаю можно-ли переименовать vlanы.
Vlan'ы именуются запросто, даже префикс базового интерфейса не просят.
Есть ли там какие-то грабли -- не знаю, сам поименованные таким образом
интерфейсы не использовал, но скорее всего грабель нет.
> В принципе там все так-же как и в iptables но есть возможность задавать
> переменные как по
> отдельности так и списком, например есть несколько списков внутренних
> хостов с разным доступом.
В iptables я так делаю. На практике мне хватает разрешительных правил,
а это довольно просто. Например, разрешаем группе системных сисадминов
с фиксированными ip-шниками доступ из внутренней сети в dmz:
iptables -A fw:ssh -i int -o dmz -j a:admins
iptables -A fw:rdp -i int -o dmz -j a:admins
iptables -A a:admins -s <admin1-host> -j ACCEPT
iptables -A a:admins -s <admin2-host> -j ACCEPT
...
> Когда надо добавить еще что-то для доступа через год-другой, не вспоминаем
> мучительно логику работы
> файрволла на данном сервере а тупо добавляем еще один адрес в список и он
> добавится везде где фигурирует этот список.
Ага.
iptables -A a:admins -s <new-admin-host> -j ACCEPT
fw save
--
Eugene Berdnikov
Reply to: