[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Конфигуратор файрволла

14.05.2012 14:27, Stanislav Vlasov пишет:
> 14 мая 2012 г., 16:17 пользователь "Артём Н." <artiom14@yandex.ru> написал:
>>>> Корпоративные рабочие станции, я так думаю, конфигурируются централизованно.
>>> Конфигурировать СВОЮ машину, сидя за клавиатурой корпоративной рабочей
>>> станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду
>>> - нет.
>> Тьфу, что-то я вчера не въехал.
>> С другой стороны... На рабочей станции, вероятно стоит не windows и там есть X,
>> т.е. ssh -X, а графическая фенечка будет запускаться на сервере?
> 
> Э... Найдите работающие иксы для андроида, пожалуйста.
Не сталкивался с андроидом, но пожалуйста:
http://code.google.com/p/android-xserver/
:-) Насчёт того, рабочие ли, не знаю.

> Да еще чтоб по нашим gprs (нет, не 3g) могли нормально работать.
> Последние два месяца моя удалённая работа - как раз с андроида.
> ssh, в основном.
> И иногда - rdp. Очень иногда, ибо жутко неудобно и медленно (по
> интерфейсным причинам медленно, в основном).
Понятно. В случае медленного соединения и постоянной работы с телефона (ну или
что там ещё бывает?), вероятно, вариант с GUI непригоден.

>>>> В случаях, когда нет под рукой локальной машины...
>>>> А так часто приходится конфигурировать файрвол?
>>> Конфигурирование файрволла - это всегда аварийная ситуация. Делать это
>>> приходится редко, но готовым надо быть в любой момент. Причем задержка с
>>> выполнением этой операции на несколько часов может стоить очень дорого.
>> Ну да, графическая утилита не имеет такой гибкости.
>> Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP?
>> Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно
>> разбираться и "штопать"..?
>> Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда
>> удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
>> лишних скриптов?
> 
> Гм... Можете представить пример, когда конфигуратор будет нагляднее
> чего-то такого:
> 
> for i in `seq 2 50 | grep -v 33`; do
>    iptables -A FORWARD -j DROP
> done
> 
> А это вполне может быть в скрипте pre-up.
1. Три строчки кода.
print "Heil, Welt!\n";
тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом
языке, в целом не может быть сложен для понимания.
2. Вообще непонятно, что делает этот кусок, без контекста. Возможно додумать,
что он запрещает форвард каким-то IP из подсети, кроме, содержащего 33,
например. Но без контекста, - это всё догадки. Сейчас он просто добавляет много
47 одинаковых правил в FORWARD. Так что это?
3. Пример приводил. Я считаю, что fwbuilder - нагляднее.
Reply to: