> On 2004.03.17 at 18:30:47 +1000, Den Ivanov wrote: > > > On 17 March 2004 16:40, Victor B. Wagner wrote: > > > Не вижу ничего птичего в языке iptables. Все просто, всё понятно - вот > > > это source , вот это destination, вот это interface, а вот сюда надо > > > jump. > > Тоесть ты считаешь что возможность писать > > --- > > interface any world > > server ssh accept > > --- > > вместо > > --- > > По-моему, вышепоскипанное не эквиалентно вышепроцитированному. > > > тебе не нужна? > > Не нужна. Не так часто я эти правила правлю. Я не рискну утверждать, что разногласия по этому поводу экивалентны разногласиям между остроконечниками и тупоконечниками, но некая тенденция наблюдается.
Конечно, очень приятно, когда написал 5 строк в конфиге, и вот у дебя наикрутейший firewall с тонкими _персонализированными_ настройками. Но. Философия открытых систем предполагает, что юзер (не всегда обязательно, на самом деле) а тем более админ _должны_ разбираться в том как устроена их система, как все работает, где что лежит, кто чем дышит. В том числе и на сетевом уровне. А если желания в этом разбиратся нет, то всегда можно нанять специалиста который в этом таки разбирается, и пущай админит. (Купить дорогую сиську с контрактом на поддержку и администрирование я как опцию специально не рассматриваю, это все от лукавого :) Такой строгий (и слегка фашиский) подход сильно смягчает наличие _полной_ документации в часности на ipchains, огромное количество опубликованных примеров, а так-же легко дступных скриптов любого уровня сложности (доступных где, не скажу). Т.е. если мне нужен минимум, я пишу скрипт сам (вот он, simple firewall), если нужно настрить потоньше, я ищу подходящий скрипт (просто скрипт, а не пакет, сую куда хочу, вызываю откуда хочу, а они приемлемо документированны) или иду в сортир на пару часов с доками. А просто ставить некий пакет типа "черный ящик" с минимумом настроек, по меньшей мере глупо (IMHO). AtGuard под Linux, блин, еще чего не хватало. Salud.