[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Конфигуратор файрволла

14 мая 2012 г., 17:01 пользователь "Артём Н." <artiom14@yandex.ru> написал:

>>>> станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду
>>>> - нет.
>>> т.е. ssh -X, а графическая фенечка будет запускаться на сервере?
>> Э... Найдите работающие иксы для андроида, пожалуйста.
> Не сталкивался с андроидом, но пожалуйста:
> http://code.google.com/p/android-xserver/
> :-) Насчёт того, рабочие ли, не знаю.

Issue 1:	Most X applications crash on start-up

>> Да еще чтоб по нашим gprs (нет, не 3g) могли нормально работать.
>> Последние два месяца моя удалённая работа - как раз с андроида.
>> ssh, в основном.
>> И иногда - rdp. Очень иногда, ибо жутко неудобно и медленно (по
>> интерфейсным причинам медленно, в основном).
> Понятно. В случае медленного соединения и постоянной работы с телефона (ну или
> что там ещё бывает?), вероятно, вариант с GUI непригоден.

Планшет с 10-дюймовым экраном 1280x800 с 3g-модулем (работоспособность
3g очень сильно зависит от места).
Пару месяцев пришлось только его дома иметь, пока ноут не починил.

>>> Ну да, графическая утилита не имеет такой гибкости.
>>> Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP?
>>> Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно
>>> разбираться и "штопать"..?
>>> Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда
>>> удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
>>> лишних скриптов?
>> Гм... Можете представить пример, когда конфигуратор будет нагляднее
>> чего-то такого:
>> for i in `seq 2 50 | grep -v 33`; do
>>    iptables -A FORWARD -j DROP
>> done

>> А это вполне может быть в скрипте pre-up.
> 1. Три строчки кода.
> print "Heil, Welt!\n";
> тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом
> языке, в целом не может быть сложен для понимания.

Это уже - культура написания. И внешний вид списка правил в гуях тоже
может быть сложен для понимания, особенно, если на экран не влазит.

> 2. Вообще непонятно, что делает этот кусок, без контекста. Возможно додумать,
> что он запрещает форвард каким-то IP из подсети, кроме, содержащего 33,
> например. Но без контекста, - это всё догадки. Сейчас он просто добавляет много
> 47 одинаковых правил в FORWARD. Так что это?

Тут прошу прощения, поторопился.
Надо было iptables -A FORWARD -s 111.222.111.$i -j DROP

> 3. Пример приводил. Я считаю, что fwbuilder - нагляднее.

Почитал на него документацию. Без мыши неработоспособен, ибо на том же
андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен -
неудобен настолько, что им нельзя пользоваться.

Конструкция из трёх строк там выльется в несколько экранов правил.
Может быть оно и нагляднее, только если в трёх строках я вижу, что
адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N
экранов можно и не углядеть.

-- 
Stanislav
Reply to: