14 мая 2012 г., 17:45 пользователь "Артём Н." <artio...@yandex.ru> написал: >>>>> Может, есть плюсы в наглядном представлении конфигурации (и настройке, >>>>> когда >>>>> удобно и есть время), а быстро что-то прикрыть возможно через iptables, >>>>> без >>>>> лишних скриптов? >>>> Гм... Можете представить пример, когда конфигуратор будет нагляднее >>>> чего-то такого: >>>> for i in `seq 2 50 | grep -v 33`; do >>>> iptables -A FORWARD -j DROP >>>> done >> >>>> А это вполне может быть в скрипте pre-up. >>> 1. Три строчки кода. >>> print "Heil, Welt!\n"; >>> тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на >>> этом >>> языке, в целом не может быть сложен для понимания. >> Это уже - культура написания. И внешний вид списка правил в гуях тоже >> может быть сложен для понимания, особенно, если на экран не влазит. > Это ещё и используемые алгоритмы, решаемые задачи, архитектура и ещё 100500 > вещей. Если бы командные языки были нагляднее и удобнее, чем GUI, то GUI бы, > наверное, не было?
У всего есть своя область применения. Гуй - для того, что проще показать, чем описать. Для меня же файрволл описывается словами точнее, чем тыканьем мыши. >>> 3. Пример приводил. Я считаю, что fwbuilder - нагляднее. >> Почитал на него документацию. Без мыши неработоспособен, ибо на том же >> андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен - >> неудобен настолько, что им нельзя пользоваться. > Да, д-н-д, там не попользуешься. Зато есть контекстное меню: > "Скопировать-Вставить". :-) Правой кнопки мыши тоже нет. >> Конструкция из трёх строк там выльется в несколько экранов правил. >> Может быть оно и нагляднее, только если в трёх строках я вижу, что >> адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N >> экранов можно и не углядеть. > Нет, отчего же? Вы можете дописать этот кусок в функцию, вызываемую при > окончании обработки правил. Хм... И накой тогда нужен гуй, если бОльшая часть файрволла будет описана такими скриптами? > P.S.: > Кстати, замечу, что вариант с добавлением большого количества правил, вероятно > не самый лучший, поскольку, как говорят, замедляет работу. > Тут вот: > http://doc.emergingthreats.net/bin/viewfile/Main/EmergingFirewallRules?rev=1;filename=emerging-ipset-update.pl.txt > есть скрипт, как раз для этого. Версия 2008-го использовала iptables. Текущая > использует ipset. Согласен, тут больше таблицы подошли бы, чем N правил. Пример для иллюстрации, а не для реального применения. -- Stanislav