[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Конфигуратор файрволла

13.05.2012 15:18, Victor Wagner пишет:
> Что народ порекомендует в качестве конфигуратора файрволла для 
> машины имеющей достижимый извне но не совсем статический (выдаваемый
> провайдером по DHCP) адрес, которая предоставляет некоторое количество
> сетевых сервисов (спасибо Dynamic DNS) и является гейтвеем домашней
> (квартирной) сетки (со стороны квартирной сетки должно быть разрешено
> больше, чем со стороны внешнего интерфейса)?
> 
> До сих пор я пользовался полностью самодельным шелловским скриптом,
> который тянется с прошлого века и накопил очень много исторических
> напластований, что затрудняет его обозрение. Сегодня, я к примеру там
> обнаружил IP-адрес от позапршлого провайдера. А вот после последего
> апгрейда на этот скрипт стал ругаться sysv-rc, утверждая что там нет LSB
> Info, и это мешает перейти на dependency based boot. LSB Info дописать
> недолго, но может быть лучше воспользоваться поводом и перейти на более
> стандартное решение?
> 
> Страничку http://wiki.debian.org/Firewalls я читал, и с имеющимися там
> данными о результатах popularity contest-а среди фронтэндов к iptables 
> ознакомлен. 
> Синтаксис команды iptables не то чтобы понмю, но легко вспоминаю после
> пяти минут чтения мана.
> 
> Вообще, как я посмотрел, большинство из перечисленных на данной
> страничке пакетов содержат свой скрипт в /etc/init.d. В то время как
> казалось бы более правильное место для конфигурирования файрволла - это
> post-up скрипт внешнего интерфейса. Опять же в момент post-up выданный
> провайдером IP-адрес уже известен и может быть использован. Но почему-то
> мейнтейнеры ferm, shorewall и firehol как минимум, этого не делают. 
> Использование
> файла interfaces предполагается только в uruk, но не непосредственно, а
> посредством iptables-save/iptables-restore.
> 
> Кто что посоветует?
FWBuilder.
Плюсы:
1. Симпатичный ГУИ. Всё достаточно ясно и понятно.
2. Нет никаких лишних скриптов и прочего. Только XML файл для настройки. XML
компилируется в шелл скрипт.
3. Библиотека служб, подсетей, времени и прочего.
4. Возможность дописать свой скрипт при старте или после применения правил.
5. Возможность автоматической заливки скрипта через SSH по кнопке Install. Он
поддерживает сохранение настроек для нескольких устройств и поддерживает
генерацию скриптов для разных файрволлов.

И прочее.

У меня один интерфейс. rc.firewall просто подгружает скрипт от fwbuilder. Плюс
алиас для вызова, перезапускающий службу, при выходе из GUI.
Reply to: