13.05.2012 15:18, Victor Wagner пишет: > Что народ порекомендует в качестве конфигуратора файрволла для > машины имеющей достижимый извне но не совсем статический (выдаваемый > провайдером по DHCP) адрес, которая предоставляет некоторое количество > сетевых сервисов (спасибо Dynamic DNS) и является гейтвеем домашней > (квартирной) сетки (со стороны квартирной сетки должно быть разрешено > больше, чем со стороны внешнего интерфейса)? > > До сих пор я пользовался полностью самодельным шелловским скриптом, > который тянется с прошлого века и накопил очень много исторических > напластований, что затрудняет его обозрение. Сегодня, я к примеру там > обнаружил IP-адрес от позапршлого провайдера. А вот после последего > апгрейда на этот скрипт стал ругаться sysv-rc, утверждая что там нет LSB > Info, и это мешает перейти на dependency based boot. LSB Info дописать > недолго, но может быть лучше воспользоваться поводом и перейти на более > стандартное решение? > > Страничку http://wiki.debian.org/Firewalls я читал, и с имеющимися там > данными о результатах popularity contest-а среди фронтэндов к iptables > ознакомлен. > Синтаксис команды iptables не то чтобы понмю, но легко вспоминаю после > пяти минут чтения мана. > > Вообще, как я посмотрел, большинство из перечисленных на данной > страничке пакетов содержат свой скрипт в /etc/init.d. В то время как > казалось бы более правильное место для конфигурирования файрволла - это > post-up скрипт внешнего интерфейса. Опять же в момент post-up выданный > провайдером IP-адрес уже известен и может быть использован. Но почему-то > мейнтейнеры ferm, shorewall и firehol как минимум, этого не делают. > Использование > файла interfaces предполагается только в uruk, но не непосредственно, а > посредством iptables-save/iptables-restore. > > Кто что посоветует? FWBuilder. Плюсы: 1. Симпатичный ГУИ. Всё достаточно ясно и понятно. 2. Нет никаких лишних скриптов и прочего. Только XML файл для настройки. XML компилируется в шелл скрипт. 3. Библиотека служб, подсетей, времени и прочего. 4. Возможность дописать свой скрипт при старте или после применения правил. 5. Возможность автоматической заливки скрипта через SSH по кнопке Install. Он поддерживает сохранение настроек для нескольких устройств и поддерживает генерацию скриптов для разных файрволлов.
И прочее. У меня один интерфейс. rc.firewall просто подгружает скрипт от fwbuilder. Плюс алиас для вызова, перезапускающий службу, при выходе из GUI. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
