>>>> Ну да, графическая утилита не имеет такой гибкости. >>>> Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP? >>>> Какую дырку закрывать? Если появилась дырка, разве не придётся потом, >>>> всё-равно >>>> разбираться и "штопать"..? >>>> Может, есть плюсы в наглядном представлении конфигурации (и настройке, >>>> когда >>>> удобно и есть время), а быстро что-то прикрыть возможно через iptables, без >>>> лишних скриптов? >>> Гм... Можете представить пример, когда конфигуратор будет нагляднее >>> чего-то такого: >>> for i in `seq 2 50 | grep -v 33`; do >>> iptables -A FORWARD -j DROP >>> done > >>> А это вполне может быть в скрипте pre-up. >> 1. Три строчки кода. >> print "Heil, Welt!\n"; >> тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на >> этом >> языке, в целом не может быть сложен для понимания. > Это уже - культура написания. И внешний вид списка правил в гуях тоже > может быть сложен для понимания, особенно, если на экран не влазит. Это ещё и используемые алгоритмы, решаемые задачи, архитектура и ещё 100500 вещей. Если бы командные языки были нагляднее и удобнее, чем GUI, то GUI бы, наверное, не было?
>> 3. Пример приводил. Я считаю, что fwbuilder - нагляднее. > Почитал на него документацию. Без мыши неработоспособен, ибо на том же > андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен - > неудобен настолько, что им нельзя пользоваться. Да, д-н-д, там не попользуешься. Зато есть контекстное меню: "Скопировать-Вставить". :-) > Конструкция из трёх строк там выльется в несколько экранов правил. > Может быть оно и нагляднее, только если в трёх строках я вижу, что > адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N > экранов можно и не углядеть. Нет, отчего же? Вы можете дописать этот кусок в функцию, вызываемую при окончании обработки правил. P.S.: Кстати, замечу, что вариант с добавлением большого количества правил, вероятно не самый лучший, поскольку, как говорят, замедляет работу. Тут вот: http://doc.emergingthreats.net/bin/viewfile/Main/EmergingFirewallRules?rev=1;filename=emerging-ipset-update.pl.txt есть скрипт, как раз для этого. Версия 2008-го использовала iptables. Текущая использует ipset. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
