On Fri, Sep 30, 2011 at 07:35:36PM +0700, Victor Sudakov wrote: > ifpw как известно весьма низкоуровневая вещь. Никто не писал макрос проблема не в том что "низкоуровневая", проблема в том что в принципе примитивная.
> или скрипт, который бы сгенерил правила ipfw по типу как в Cisco PIX: а смысл? Пикса на коленке все равно не получится, ибо пикс это немножко больше чем простые конфиги. Кстати,бу - и недорого... Ну и напишешь ты такой скрипт - что будем делать (скриптом или руками) если понадобилось добавить порт/хост/протокол? (а если, не дай аллах, интерфейс?) Радостно снесем нахрен весь файрвол и зальем заново? Будем автоматически парсить старое и новое состояние? Сгенерить-то проще всего... > Я что-то попытался продумать такую конструкцию с keep-state хотя бы > для 3 интерфейсов с разными уровнями (inside 100, outside 0, dmz 50) > и у меня ум за разум зашёл. А если еще адреса транслировать надо, > вообще труба. потому что ipfw - примитивное дерьмецо. По исходной задумке, не по реализации. Это была чудесная конструкция образца 1994-го года, когда процессоры были большими, а каналы маленькими. Уже в 95-м со своими номерками смотрелась некоторым анахронизмом. В 99-м просто уродцем. Прошло десять лет - наконец какие-то странные люди начали пытаться написать версию с ветками. Это уровень линуксного ipchains, добро пожаловать в 1995й. (да, я злой, потому что ровно вчера в очередной раз с омерзением разбирался в чужих правилах, пытаясь угадать, куда бы там всунуть нечто, непредусмотренное изначальным планом. Ни с pf, ни с iptables, ни с цискиными acl ломать глаза и мозг не приходится в гораздо более сложных конструкциях, чем помойка с парой статических интерфейсов и vpn'ом.) > Alex
