[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Конфигуратор файрволла

14 мая 2012 г., 17:45 пользователь "Артём Н." <artiom14@yandex.ru> написал:
>>>>> Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда
>>>>> удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
>>>>> лишних скриптов?
>>>> Гм... Можете представить пример, когда конфигуратор будет нагляднее
>>>> чего-то такого:
>>>> for i in `seq 2 50 | grep -v 33`; do
>>>>    iptables -A FORWARD -j DROP
>>>> done
>>
>>>> А это вполне может быть в скрипте pre-up.
>>> 1. Три строчки кода.
>>> print "Heil, Welt!\n";
>>> тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом
>>> языке, в целом не может быть сложен для понимания.
>> Это уже - культура написания. И внешний вид списка правил в гуях тоже
>> может быть сложен для понимания, особенно, если на экран не влазит.
> Это ещё и используемые алгоритмы, решаемые задачи, архитектура и ещё 100500
> вещей. Если бы командные языки были нагляднее и удобнее, чем GUI, то GUI бы,
> наверное, не было?

У всего есть своя область применения. Гуй - для того, что проще
показать, чем описать.
Для меня же файрволл описывается словами точнее, чем тыканьем мыши.

>>> 3. Пример приводил. Я считаю, что fwbuilder - нагляднее.
>> Почитал на него документацию. Без мыши неработоспособен, ибо на том же
>> андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен -
>> неудобен настолько, что им нельзя пользоваться.
> Да, д-н-д, там не попользуешься. Зато есть контекстное меню:
> "Скопировать-Вставить". :-)

Правой кнопки мыши тоже нет.

>> Конструкция из трёх строк там выльется в несколько экранов правил.
>> Может быть оно и нагляднее, только если в трёх строках я вижу, что
>> адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N
>> экранов можно и не углядеть.
> Нет, отчего же? Вы можете дописать этот кусок в функцию, вызываемую при
> окончании обработки правил.

Хм... И накой тогда нужен гуй, если бОльшая часть файрволла будет
описана такими скриптами?

> P.S.:
> Кстати, замечу, что вариант с добавлением большого количества правил, вероятно
> не самый лучший, поскольку, как говорят, замедляет работу.
> Тут вот:
> http://doc.emergingthreats.net/bin/viewfile/Main/EmergingFirewallRules?rev=1;filename=emerging-ipset-update.pl.txt
> есть скрипт, как раз для этого. Версия 2008-го использовала iptables. Текущая
> использует ipset.

Согласен, тут больше таблицы подошли бы, чем N правил.
Пример для иллюстрации, а не для реального применения.

-- 
Stanislav
Reply to: