Конфигуратор файрволла
Что народ порекомендует в качестве конфигуратора файрволла для
машины имеющей достижимый извне но не совсем статический (выдаваемый
провайдером по DHCP) адрес, которая предоставляет некоторое количество
сетевых сервисов (спасибо Dynamic DNS) и является гейтвеем домашней
(квартирной) сетки (со стороны квартирной сетки должно быть разрешено
больше, чем со стороны внешнего интерфейса)?
До сих пор я пользовался полностью самодельным шелловским скриптом,
который тянется с прошлого века и накопил очень много исторических
напластований, что затрудняет его обозрение. Сегодня, я к примеру там
обнаружил IP-адрес от позапршлого провайдера. А вот после последего
апгрейда на этот скрипт стал ругаться sysv-rc, утверждая что там нет LSB
Info, и это мешает перейти на dependency based boot. LSB Info дописать
недолго, но может быть лучше воспользоваться поводом и перейти на более
стандартное решение?
Страничку http://wiki.debian.org/Firewalls я читал, и с имеющимися там
данными о результатах popularity contest-а среди фронтэндов к iptables
ознакомлен.
Синтаксис команды iptables не то чтобы понмю, но легко вспоминаю после
пяти минут чтения мана.
Вообще, как я посмотрел, большинство из перечисленных на данной
страничке пакетов содержат свой скрипт в /etc/init.d. В то время как
казалось бы более правильное место для конфигурирования файрволла - это
post-up скрипт внешнего интерфейса. Опять же в момент post-up выданный
провайдером IP-адрес уже известен и может быть использован. Но почему-то
мейнтейнеры ferm, shorewall и firehol как минимум, этого не делают.
Использование
файла interfaces предполагается только в uruk, но не непосредственно, а
посредством iptables-save/iptables-restore.
Кто что посоветует?
Reply to: