форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от opennews on 15-Июл-09, 11:37
Вышел стабильный релиз flex-fw (http://code.google.com/p/flex-fw/), небольшой и быстрой надстройки (front-end) для Linux утилиты iptables с простым синтаксисом команд, напоминающем ipfw из FreeBSD или pf из OpenBSD. Возможности: -  Сервис-ориентированная конфигурация, позволяет стартовать или останавливать доступ к каждому сервису раздельно и независимо, без остановки всей системы flex-fw целиком; -  Поддержка сетевых профилей /etc/net (http://etcnet.org/). Можно работать с различным сетевым окружением без какой либо перенастройки flex-fw; -  Поддержка макросов. Макрос - это переменная, определяемая пользователем, которая может хранить IP-адрес, номер порта, имя интерфейса и т.п. -  Простая миграция - достаточно переопределить макросы для переноса на другой хост, в другое сетевое окружение; -  Тиражирование. Описывая сервисы с использованием макросов можно легко перенести сервисы на все обслуживаемые хосты без каких либо изменений; -  Простая отладка. Поддержка вывода чере... URL: http://code.google.com/p/flex-fw/wiki/RussianHomePage Новость: http://www.opennet.dev/opennews/art.shtml?num=22605
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+4 +/–
Сообщение от azure on 15-Июл-09, 11:37
гибче iptables чтоли? Не верю! (с) Станиславский
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+4 +/–
	Сообщение от yopt on 15-Июл-09, 13:40
	не припоминаю что бы Станиславский что-то говорил про iptables...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от shama_n (ok) on 15-Июл-09, 11:45
что-то маловато дистрибов поддерживается
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от VitalkaDrug on 15-Июл-09, 13:44
	>что-то маловато дистрибов поддерживается Пока поддерживаю то, с чем работаю сам. Если есть желание помочь - буду крайне признателен за любое содействие.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	37. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Евгений Александрович on 15-Июл-09, 20:11
	Сделайте пожалуйста ebuild для gentoo, думаю, многим будет полезно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от pavlinux (ok) on 15-Июл-09, 16:22
	iptables не дистрибутив :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		–1 +/–
Сообщение от netc (ok) on 15-Июл-09, 12:12
да iptables - это хорошо, но в совем изначальном виде, т.е. его обычные правила - это жесть. недавно старый сервер надо было немного поменять (fw скрипт) да полчаса вспоминал что да как. вспомнил!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "больше надстроек - и все разные... где ж хорошие-то?"		+1 +/–
	Сообщение от Andrey Mitrofanov on 15-Июл-09, 13:29
	>да iptables - это хорошо, но в совем изначальном виде, т.е. его обычные правила - это жесть. Именно. iptables в тепершнем виде - ассемблер фактически. Чтобы выполнить _обычное_ действие (открыть порт, например), нужно написать несколько правил (+отдельно для NAT-ов), не забыть про ip_forward и, бывает, загрузить модули ядра, очень желательно учесть взаимозависимости, не наступить на "особенности" с порядком правил и не очепятаться в множестве длиннющих строк. И неплохо бы, чтоб stateful. И чтоб безопасно -- обязательно. ... %-l >недавно старый сервер надо было немного поменять (fw скрипт) да полчаса вспоминал что да как. вспомнил! А выбрал бы и использовал генератор правил -- глядишь, список вспоминаемых правил был бы раз в *цать http:/openforum/vsluhforumID1/81413.html#7 (*) короче. Вспоминалку не так напрягать пришлось бы. Хотя на вкус, на цвет... Многие продолжают пилить iptables/#EXAMPLESCRIPTS, кому-то и "чистый" iptables |) _нравится_. Поэтому обёрток и генераторов правил -- вагон с тележкой. И у каждого - свои ограничения... Например, на что уж мне нравится firehol, но в его входном языке не учтена связь между nat-ами и соответствующими фильтрами -- приходится (~всё равно) два набора правил писать... И да, сам мучительно вспоминаю, чего нагородил http:/openforum/vsluhforumID1/82424.html#3 на firehol с кучей разных групп ip с разными nat-ами с фильтрами... Совершенства нет. Поэтому и появляются новые обёртки-генераторы. Вот, глядишь, выйдет nftables http:/openforum/vsluhforumID3/50862.html -- будет одна обёртка для всех. Пока и её :) не начнут обёртывать. (*) При этом _читать_ iptables-save и понимать, как оно там устроено внутри -- тоже неплохо, если не обязательно, - для полной уверненности.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "больше надстроек - и все разные... где ж хорошие-то?"		+/–
	Сообщение от VitalkaDrug on 15-Июл-09, 13:58
	>Например, на что уж мне нравится firehol, но в его входном языке >не учтена связь между nat-ами и соответствующими фильтрами -- приходится (~всё >равно) два набора правил писать... Спасибо за идею, возможно возьму на вооружение. >(*) При этом _читать_ iptables-save и понимать, как оно там устроено внутри >-- тоже неплохо, если не обязательно, - для полной уверненности. Абсолютно с вами согласен. Никакая обертка не должна исключать знание мат-части. Задача обертки не в замене инструмента, а в упрощении автоматизации повседневной работы.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	36. "больше надстроек - и все разные... где ж хорошие-то?"		+/–
	Сообщение от pavlinux (ok) on 15-Июл-09, 16:59
	Ага, это вы бландинкам за рулём лексуса расскажите.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	40. "больше надстроек - и все разные... где ж хорошие-то?"		+/–
	Сообщение от netc (??) on 15-Июл-09, 22:28
	>>недавно старый сервер надо было немного поменять (fw скрипт) да полчаса вспоминал что да как. вспомнил! > >А выбрал бы и использовал генератор правил -- глядишь, список вспоминаемых правил >был бы раз в *цать http:/openforum/vsluhforumID1/81413.html#7 (*) короче. Вспоминалку не так >напрягать пришлось бы. Хотя на вкус, на цвет... Многие продолжают пилить >iptables/#EXAMPLESCRIPTS, кому-то и "чистый" iptables |) _нравится_. не знаю, но почему то после ваших слов всякая обвертка для fw стала оссоциироваться с графическим интерфейсом на сервере ;) хотя на счет вкуса я согласен но почему то как то вот сложилось, если уж браться за что то до пилить до конца, во всяком случае если это интересно или других вариантов нет ;
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от ra (??) on 15-Июл-09, 12:16
Новый велосипед? Чем лучше Shorewall или хотя бы ferm?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от VitalkaDrug on 15-Июл-09, 13:28
	Увы, новый. Насчёт лучше - не уверен, но есть возможность управлять доступом к конкретным сетевым сервисам, при этом никак не затрагивая доступ к остальным, и уж тем более не перезапуская систему фильтрации целиком (что зачастую чревато обрывом уже установленных соединений).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	57. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от belkin (ok) on 16-Июл-09, 12:50
	>возможность управлять доступом >к конкретным сетевым сервисам, при этом никак не затрагивая доступ к >остальным, и уж тем более не перезапуская систему фильтрации целиком (что >зачастую чревато обрывом уже установленных соединений). Системный подход к решению практических задач.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от kukulkan (??) on 15-Июл-09, 12:37
опять эти велосипеды. есть уже ufw, shorewall и еще вагон с маленькой тележкой этих надстроек. и все из-за убогого синтаксиса и логики построения правил в iptables. почему то для ipfw и pf таких надстроек не используют - вменяемый синтаксис (особенно у pf) изначально был заложен разработчиками.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от netc (ok) on 15-Июл-09, 12:51
	>опять эти велосипеды. есть уже ufw, shorewall и еще вагон с маленькой >тележкой этих надстроек. и все из-за убогого синтаксиса и логики построения >правил в iptables. >почему то для ipfw и pf таких надстроек не используют - вменяемый >синтаксис (особенно у pf) изначально был заложен разработчиками. АБСОЛЮТНО ТРЕМЯ РУКАМИ ЗА! Очень правильная мысль у Вас - на счет велосипедов, окружающих настройку iptables. Почему интересно разработчики об этом не задумываються.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Стабильный релиз"		+/–
	Сообщение от Andrey Mitrofanov on 15-Июл-09, 13:45
	>опять эти велосипеды. >почему то для ipfw и pf Ы? :)) Что-то мне подсказывает, что это не все _ваши_ велосипеды?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от VitalkaDrug on 15-Июл-09, 14:05
	>опять эти велосипеды. есть уже ufw, shorewall и еще вагон с маленькой >тележкой этих надстроек. и все из-за убогого синтаксиса и логики построения >правил в iptables. Никто не ругает ассемблер за убогость синтаксиса и логики работы через регистры процессора. Его просто используют те, кому это действительно нужно. Остальные применяют обертки в виде компиляторов и интерпретаторов. Правда среди них тоже мало счастливых и всем довольных... :) >почему то для ipfw и pf таких надстроек не используют - вменяемый >синтаксис (особенно у pf) изначально был заложен разработчиками. Возможно разработчики pf просто имели больший опыт в разработке дружественных интерфейсов. Пускай даже и интерфейсов командной строки... :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от Аноним (??) on 15-Июл-09, 12:51
А чем он от убунтовского ufw отличается, который тоже с похожим на pf синтаксисом? Например: ufw allow proto tcp from any to any port 22 ufw allow from 192.168.0.0/16 ufw insert 3 deny to any port 22 from 10.0.0.135 proto tcp
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от VitalkaDrug on 15-Июл-09, 14:23
	>А чем он от убунтовского ufw отличается, который тоже с похожим на >pf синтаксисом? Хотя бы тем, что ufw никто не переносил на Slackware и не планирует делать это для RedHat. Да и не былы ничего слышно про ufw в августе 2003 года. Как, впрочем, и об Ubuntu... А вообще, я бы на синтаксисе вообще не концентрировал внимание. Упрощённый синтаксис - это скорее побочный продукт, в начале разработки о нем как-то и не задумывались, хватало нескольких функций-макросов. Основными плюсами я считаю сервис-ориентированность, возможность манипуляции доступом к конкретным сервисам независимо от других, без внесения в их работу каких-либо помех, и легкость миграции в другое сетевое окружение. При введении простых стандартов на макросы получаем возможность прозрачного переноса описаний сервисов между хостами в обслуживаемом парке маршрутизаторов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	38. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от netc (??) on 15-Июл-09, 22:09
	>в их работу каких-либо помех, и легкость миграции в другое сетевое >окружение. При введении простых стандартов на макросы получаем возможность прозрачного переноса >описаний сервисов между хостами в обслуживаемом парке маршрутизаторов. Кстати раз уж зашла об этом речь! Осмелюсь у Вас, да в прочем и у всех! У меня три маршрутизатора на pf и честно сказать я в ужасе. У кого какие методики есть. Может примеры конфигов, сценариев (iptables) Интересует как pf так и iptables. Можете поделиться ? можно на мыло, если ну сами понимаете спасибо
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	45. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Vitalka (ok) on 16-Июл-09, 01:14
	Не совсем понятно что вызывает у вас ужас. В чем суть проблемы? Может обсуждение проблемы переведем на форум - к этой новости это наверняка отношения не имеет?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от _Vitaly_ (ok) on 15-Июл-09, 15:34
	А как в ufw по простому привязывать правила не к порту, а к интерфейсу хотя бы?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+6 +/–
Сообщение от jy on 15-Июл-09, 12:59
А мне нравится синтаксис iptables и не нуждаюсь во всяких приблудах
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от auk on 15-Июл-09, 13:05
что-то мне казалось, что синтаксис у pf и ipfw ну сильно различается по крайней мере идеи заложенные в их ситаксис очень разнятся
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от netc (ok) on 15-Июл-09, 13:08
	>что-то мне казалось, что синтаксис у pf и ipfw ну сильно различается > >по крайней мере идеи заложенные в их ситаксис очень разнятся не знаю как у ipfw и pf а вот pf и iptables - точно, идея и реализация FW разные, точнее есть нюансы, которые если их не знать то сделать хороший FW не представляеться возможным. А вообще я заметил, лично по себе, забываеться что то, что это. Каждый раз приходиться вспоминать а это же pf у него так; а это же iptables здесь нужно так Это личное впечатление от настройки FW-ов
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+6 +/–
Сообщение от Антон (??) on 15-Июл-09, 13:18
Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко осваиваемый нужно просто включить мозги.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		–1 +/–
	Сообщение от netc (ok) on 15-Июл-09, 13:39
	>Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого >рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко >осваиваемый нужно просто включить мозги. лично я не спорю все понятно, понятный синтаксис, главное гибкий но у pf это более абстрагировано от реальной организации стека и все что с нм связано как то более на человека подобном языке а не на машинно если можно так сказать согласны?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+2 +/–
	Сообщение от настоящий_аноним on 15-Июл-09, 14:34
	Если кратко, синтаксис pf можно описать одним словом - негибкий. Для интерфейса к любой сложной системе простота и удобство противопоставляются. Чем проще интерфейс - тем он менее удобен. Чем удобнее - тем больше нужно шевелить мозгами, чтобы понять его. Примеры: vim, emacs, awesome, xmonad. Но зато после определенного движения мысли, эффективность работы значительно возрастает по сравнению с простым интерфейсом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		–1 +/–
	Сообщение от sanDro (ok) on 15-Июл-09, 16:36
	>Если кратко, синтаксис pf можно описать одним словом - негибкий. Это у PF-а то синтаксис не гибкий? Вы когда нибудь на OpenBSD маршрутизатор с FW делали? Много-портовый? >Для интерфейса к любой сложной системе простота и удобство противопоставляются. >Чем проще интерфейс - тем он менее удобен. Ваши слова истинная правда, если учесть что синтаксис iptables в N раз проще чем синтаксисPF. :) Ассемблер имеет много достоинств. Но на С писать проще, быстрее и, если программа большая, то и надёжнее. Т.к. синтаксис читабельней чем у ассемблера на несколько порядков.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	39. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от netc (??) on 15-Июл-09, 22:23
	>Если кратко, синтаксис pf можно описать одним словом - негибкий. > >Для интерфейса к любой сложной системе простота и удобство противопоставляются. >Чем проще интерфейс - тем он менее удобен. >Чем удобнее - тем больше нужно шевелить мозгами, чтобы понять его. Примеры: >vim, emacs, awesome, xmonad. Но зато после определенного движения мысли, эффективность >работы значительно возрастает по сравнению с простым интерфейсом. много чего в мире не гибкого, при том, что это совсем не характеризует не гибкий "предмет" как не соответствующий требованиям и функциям ему предъявляемым или в него залеженным. да pf за счет синтаксиса скрывает тонкости реализации, и поэтому может не всегда понятно как он работает, пока не поймешь как же это будет на его языке. iptables напротив нужно один раз понять, но понять так широко и с такими вытекающими, что написать правило будет гораздо сложнее нежели для pf и будет это гораздо трудоемней. Вообще у этих двух fw много отличий. Ну вот например tcnm еще одно отличие iptables от pf это порядок правил или цепочек. в pf он строго задан разработчиком, в iptables наоборот ты сам себе хозяин. с iptables - пока не проколешься не поймещь. с pf - это гораздо менее вероятнее ИМХО.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	41. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Антон (??) on 15-Июл-09, 23:25
	Разве машинный код придумали не люди? Или скайнет захватил мир? :D Так или иначе каждый выбирает для себя свой, на его взгляд, удобный инструмент.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от VitalkaDrug on 15-Июл-09, 13:41
	>Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого >рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко >осваиваемый нужно просто включить мозги. Использую iptables в оригинале с момента его появления. О надстройках задумался когда в количество сопровождаемых маршрутизаторов со схожими задачами, а следовательно и настройками фаервола, перевалило за второй десяток. И практически каждый день приходилось вносить в эти настройки изменения, практически одинаковые для нескольких хостов. И мозгами тут уже не пахло - тупая рутина...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	42. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Антон (??) on 15-Июл-09, 23:27
	>>Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого >>рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко >>осваиваемый нужно просто включить мозги. > >Использую iptables в оригинале с момента его появления. О надстройках задумался когда >в количество сопровождаемых маршрутизаторов со схожими задачами, а следовательно и настройками >фаервола, перевалило за второй десяток. И практически каждый день приходилось вносить >в эти настройки изменения, практически одинаковые для нескольких хостов. И мозгами >тут уже не пахло - тупая рутина... Для тупой рутины есть bash, perl, etc....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	46. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Vitalka (ok) on 16-Июл-09, 01:17
	>>И мозгами тут уже не пахло - тупая рутина... > >Для тупой рутины есть bash, perl, etc.... Собственно, с простенького башевского скрипта за несколько лет все это плавно переросло в flex-fw :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от terminus (ok) on 15-Июл-09, 13:50
зачем обертки? используйте оригинал! луиджи же недавно портировал ipfw на Linux =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+2 +/–
Сообщение от azure on 15-Июл-09, 14:05
iptables, (точнее, Netfilter) пожалуй, самое мощное бесплатное средство работы с сетевым стеком. Все эти "упрощалки" на самом деле усложняют(!) работу системы. Достаточно один раз понять, как проходят пакеты через netfilter, освоить правило создания команд, и вуаля! - можно делать все что угодно с пакетами - маркировать для других нужд, журналировать попытки доступа, блокировать злоумышленников с частыми запросами к определенным сервисам и автоматически снимать блокировки через установленные промежутки времени. И всего-то что нужно прочитать - man iptables.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от VitalkaDrug on 15-Июл-09, 14:40
	>iptables, (точнее, Netfilter) пожалуй, самое мощное бесплатное средство работы с сетевым стеком. Абсолютно уверен в том-же! >Все эти "упрощалки" на самом деле усложняют(!) работу системы. Как это не парадоксально - но это факт! Внесение дополнительной логики в любую систему может ее только усложнить. Я думаю что любыми обертками следует пользоваться только досконально изучив работу самого iptables. И рассматривать их не как средство упрощения синтаксиса, а как средство минимизации затрат времени при решении ряда весьма специфичных задач. > И всего-то что нужно прочитать - man iptables. А вот здесь категорически не согласен. Одного мана для понимания работы пакетного фильтра в Linux будет явно не достаточно. Придётся еще почитать документацию и статьи с netfilter.org...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		–1 +/–
	Сообщение от kem on 15-Июл-09, 15:20
	Упрощалки упрощалкам рознь. При большом количестве правил все равно приходится писать свой скрипт, то есть собственную упрощалку, так почему бы не использовать уже написанную, поддерживаемую и с понятным синтаксисом. Использовал firehol http://firehol.sourceforge.net/, действительно удобно писать простые правила и не менее удобно сложные, использовать свои скрипты и т.д.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	43. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Антон (??) on 15-Июл-09, 23:30
	>А вот здесь категорически не согласен. Одного мана для понимания работы пакетного >фильтра в Linux будет явно не достаточно. Придётся еще почитать документацию >и статьи с netfilter.org... Зачем? Ведь уже есть для ленивых и на русском http://www.opennet.dev/docs/RUS/iptables/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от Andrew Kornilov on 15-Июл-09, 14:38
А etcnet тоже, кстати, имеет встроенную поддержку iptables, ipv6tables и ebtables. http://www.altlinux.org/Etcnet/firewall Это если вдруг кто не знал, т.к. штатно он выключен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от pavlinux (ok) on 15-Июл-09, 16:39
> allow forward from any to $ipDmzServer in-if $ifWan out-if $ifDMZ proto tcp dport https iptables -I FORWARD -s 0/0 -d $ipDmzServer -i $ifWan -o $ifDMS -p tcp --destination-port https -j ACCEPT И где разница, кроме того что синтаксис другой ...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	47. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+1 +/–
	Сообщение от Vitalka (ok) on 16-Июл-09, 02:18
	>> allow forward from any to $ipDmzServer in-if $ifWan out-if $ifDMZ proto tcp dport https > >iptables -I FORWARD -s 0/0 -d $ipDmzServer -i $ifWan -o $ifDMS -p >tcp --destination-port https -j ACCEPT > >И где разница, кроме того что синтаксис другой ... Я бы не делал акцент на синтаксисе. В данном случае ее действительно практически нет. На страничке проекта альтернативный синтаксис даже не вынесен в "возможности" (features), поскольку это далеко не главное. Рассмотрите эту строчку в контексте с другими, ведь правил на фаере как правило больше одного. А теперь представте что правил там несколько тысяч. Или десятков тысяч. Желание сгруппировать их, снабдить комментариями, или хотя-бы просто сократить объем анализируемой при просмотре информации возникнет очень быстро. И группировка, скорее всего, будет производиться по влиянию правил на доступность конкретных сетевых приложений. Вот мы уже вплотную подошли к сервис-ориентированности. Расширим рамки - вы в организации не единственный сисадмин, и у вас далеко не один сервер/маршрутизатор. По мере развития все равно или поздно разрабатывают свои внутренние стандарты, или, если им повезет, следуют ранее принятым - как оформлять комментарии, как группировать правила, какие правила использовать в той или иной ситуации, какие использовать переменные, где инициализировать их значения и т.п. И теперь вы уже не вольный художник с гибким и мощным инструментом, вы заложник стандартов. И что-бы им следовать и не ошибаться, вы сами-же начнете разрабатывать макросы или функции, заменяющие одинаковые последовательности команд одним вызовом и сводящие к минимуму объем набиваемого текста. Вы вплотную подошли к упрощению синтаксиса. Возмем штатную рабочую ситуацию - необходимо изменить настройки фаервола на маршрутизаторе. В простейшем случае (а именно так поступает большинство) вы находите в своем скрипте с последовательностью команд iptables нужные комменты, добавляете или модифицируете правила, и перезапускаете скрипт. Сброс цепочек, применение полиси, пошли добавляться правила... Через некоторое время пакеты снова забегали. Никто из работающих через маршрутизатор практически ничего и не заметил. Ну, тормознул браузер. Ну, аська переконнектилась. Хотя, если вы ошиблись, и скрипт не отработал сразу без ошибок, времени потребуется немного больше и кое-кто может занервничать... А теперь вспомним что правил много (очень много!), а клиентов, работающих через маршрутизатор, ненамногим меньше. И они очень нетерпеливые. И в случае перебоя со связью на вас обрушивается шквал телефонных звонков, потому что вы еще и служба поддержки к тому-же. Через пару промахов вас вызовет к себе ваш руководитель и вставит чопик. Который ему достанется от его руководителя. И что-бы этого избежать в будущем вы задумаетесь - как быстро и аккуратно вносить точечные изменения в работающий фаер, минимизируя последствия (читай - простой) от допущенной ошибки (а человеческий фактор еще никто не отменял). При достаточно серъезном подходе к должностным обязанностям вы быстро обрастете своими-же "обертками". Предполагаю, что все создатели каких-либо "оберток" начинали с этого-же. Не от праздного любобытства разрабатывались упомянутые здесь shorewall'ы и ufw'ы. Все от нужды... :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	50. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Alex (??) on 16-Июл-09, 04:07
	Несогласен. Давайте разберемся в схеме построений правил. Бывает статический набор правил, обычно задается самим сисадмином, и динамический - строится по каким то внешним раздражителям, состояниям счета у пользователя, состоянием сервиса и т.д. Как привязать эту схему к динамике - я честно говоря не представляю. Что же делается в статике - я могу рассказть. Если мне необходимо провести изменения в живом наборе правил - я меняю именно живой набор правил, какие то правила удаляю, какието добавляю, какието меняю. Все правила начинают работать немедленно и я сразу вижу изменения в работе. Только после того как задача выполнена и пакеты побежали по новой схеме я их сохраняю. Фушкционал iptables-save уже давно реализован и только он реализует полную и правильную сохранность правил. Конечно есть вариант что save неиспользуется, а все правила написаны в неком промежуточном файле с последовательным вызовом iptables. В таком случае стоит задуматься о изменении механизма хранения правил, а не о его модернизации. И еще один момент. Если я как нерадивый сисадмин буду получать он начальства нагоняи за свои ошибки - это обидно. Но если я буду получать тоже самое, но за ошибки которые потенциально содержатся в сторонней программе - так мне и надо. А представим ситуацию когда в этой программе просто нехватит функционала...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	51. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Vitalka (ok) on 16-Июл-09, 06:13
	>Фушкционал iptables-save уже давно реализован и только >он реализует полную и правильную сохранность правил. Конечно есть вариант что >save неиспользуется, а все правила написаны в неком промежуточном файле с >последовательным вызовом iptables. В таком случае стоит задуматься о изменении механизма >хранения правил, а не о его модернизации. >И еще один момент. Если я как нерадивый сисадмин буду получать он >начальства нагоняи за свои ошибки - это обидно. Но если я >буду получать тоже самое, но за ошибки которые потенциально содержатся в >сторонней программе - так мне и надо. А представим ситуацию когда >в этой программе просто нехватит функционала... Волков бояться - в лес не ходить :) В принципе, никто не позиционирует никакую "обертку" как замену iptables - любая "обертка" это ведь только надстройка. Кто запретит вам использовать команды iptables напрямую? Я сам, к примеру, часто так и делаю. Те-же сервисы для flex-fw описываю командами iptables. В этом случае flex-fw предоставляет удобные возможности по быстрой блокировке/разрешению трафика минимизируя ручные манипуляции, и как следствие - вероятность ошибки. Достаточно запустить или остановить сервис flex-fw одной командой. И она будет одинаковой для всех, обслуживаемых у вас, маршрутизаторов. Может это для вас и незначительно, но для меня было весьма критично - администрированием занималось несколько специалистов, каждый со своими "замутами", стилем работы и опытом... Я думаю что продолжать в том-же духе можно долго, и у каждого будут свои аргументы, опирающиеся на его личный опыт. Но, увы, это чужой опыт. Пока сам не почувствуешь необходимость изменений - они тебе не нужны :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от pavlinux (ok) on 15-Июл-09, 16:55
Вот такая нужна!!! http://i15.tinypic.com/4kemw0k.jpg Только не куча г..на, на PHP/Pyton/Apache/MySQL/RRDtools/iptables 2 ядрённых модуля - для слежения и управления. 1 библиотека для парсинга ввода/вывода и GUI 1 демон для сервера, логирования, статистики. 1 API для плугинов. Туева хуча плугинов... (напр. для запуска USB-кофемолки при обнаружении спец пакета) :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	44. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от demon (??) on 16-Июл-09, 01:04
	А вы конфиг, который это чудо делает, пытались прочитать, и главное, понять?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	48. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от pavlinux (ok) on 16-Июл-09, 03:03
	>А вы конфиг, который это чудо делает, пытались прочитать, и главное, понять? > У Сисок, два понятия управлением фраерволом - через ГУЙ и КЛИ, 90% населения серверных хватает ГУЯ, и лишь 10% ШайтанБубен-IOSАдмины. Кстати, от конфига фаервола на иптаблес, народ тоже в обморок падал...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	54. "Стабильный павлин проекта гибкой над лексус..."		+/–
	Сообщение от Andrey Mitrofanov on 16-Июл-09, 10:03
	>Кстати, от конфига фаервола на иптаблес, народ тоже в обморок падал... Та самая "блондинка на лексусе" из #36? Бе-есчеловечный!! Ж)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	55. "Стабильный павлин проекта гибкой над лексус..."		+/–
	Сообщение от pavlinux (ok) on 16-Июл-09, 10:55
	>>Кстати, от конфига фаервола на иптаблес, народ тоже в обморок падал... > >Та самая "блондинка на лексусе" из #36? Бе-есчеловечный!! Ж) А так же: аппроксимация и экстраполяция- это какие-то виды эпиляции... интерференция и дифракция - это что-то политическое Впадают в глубокий экстаз от Дифференциальное уравнение высшего порядка...  а-а-а-а
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	61. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Станислав on 19-Июл-09, 00:53
	Значит этих 90% админов нельзя подпускать к Сискам, ибо в руках таких админов очень надежные железки превращаются в дыры.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от Alex (??) on 16-Июл-09, 03:52
Честно говоря совершенно не понял цели данной надстройки. Правила построения файервола - это очень сисадминская задача, требующего понимания и щепетильности. Всяческое упрощение приведет к появлению недосмотров и в итоге дырок. И опять же человек, ВРИО сисадмина, который не проверил фаерволл!!! зря получает зарплату. А теперь по самой программе. Вся сила и прелесть iptables именно в его цепочках и таблицах. Т.е. если человеку надо создать собственную цепочку - то надо очень плотно поработать с этой программой, не лучше ли это время потратить на изучение самого iptables? Второй момент: дополнительные модули. Их много и с самым разным функционалом и опциями, боюсь что в полном объеме поддержку всех модулей реализовать просто нереально. Значит останутся места где надо будет доделывать функционал фаервола руками, а это опять же дыра в защите. Я лично видел негатиный результат от использования некоторыми сисадминами надстройки shorewall, народ просто сидел на упрощенной схеме и даже не пытался разобраться. Я так считаю если общее количество правил не прывашает 50-100 строк - то все они легко читаются и настраиваюстя штатными средствами. А если количество правил больше, и чем больше тем это актуальней - то ручная правка и тщательная проверка крайне необходима. ИМХО: людям которые мне показали эту ссылку я нерекомендую использовать данную прогу. Обычные проблемы у новичков - набор правил для предотвращения атак с внешнего интерфейса, есть масса примеров с готовыми правилами описывающую данную ситуацию. А у специалистов - я думаю вывод будет простой.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	52. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от Vitalka (ok) on 16-Июл-09, 06:20
	>Обычные проблемы у новичков - набор правил для предотвращения атак с >внешнего интерфейса, есть масса примеров с готовыми правилами описывающую данную ситуацию. >А у специалистов - я думаю вывод будет простой. Да как бы и не на новичков все это ориентировано... Назвать себя новичком язык не поворачивается. Лично мне в работе подобный инструмент помогает. Если он поможет еще хотя бы одному человеку кроме меня - значит проект опубликован не зря :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	53. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от zsh (ok) on 16-Июл-09, 07:26
	Думаю, что способ заставить людей изучить что-либо, отняв у них более простые способы, работать не будет. Разумеется "глубины" можно изучить самостоятельно, ощутив недостаток функционала/гибкости, но некоторым и существующего будет в достатке. Проект скорее "for fun", но как и все остальное, имеет право на существование.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	58. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от belkin (ok) on 16-Июл-09, 13:15
	>Честно говоря совершенно не понял цели данной надстройки. Цель - управлять на уровне сервисов а не пакетов. Типичная задача автоматизации управления сетью.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
Сообщение от bondbig (ok) on 16-Июл-09, 21:06
Вот вы тут рассуждаете - десятки-сотни файерволов, команда админов, тысячи клиентов вроде как вынудили написать "обёртку", но я не понимаю, почему в подобного масштаба организации не используются решения уровня Enterprise, например тот же CheckPoint? Эти ребята изобрели stateful FW, и делают замечательные файерволы, экономя время и нервы (а в итоге и деньги) подразделениям поддержки сетевой инфраструктуры. Для сетей попроще отлично работают файерволы Cisco, например. К чему все эти красноглазые велосипеды и программисткий зуд? Я понимаю в конторках на 100-300 человек с парой филиалов, но в крупных компаниях допускать самоделки? Ну напишет человек мега-тулзу, всем хорошо и бесплатно, потом он уволился, и понемногу начнутся проблемы - там не так сработало, тут не хватило функционала для такой-то задачки и т.п. Я уже молчу о жизненном цикле ПО, если автор забьет на разработку через годок, а контора уже вляпалась по самое небалуйся... Страшно, товарищи!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	60. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."		+/–
	Сообщение от zsh (ok) on 17-Июл-09, 00:52
	Вы наверно прямиком с cisco.com к нам заглянули? =) "тыщи" маршрутизаторов на базе pc, как правило у интернет-провайдеров вторичного рынка небольших городов, пиксы, чекпоинты и асы, им не подходят, да и по цене они "не свезут". Может быть и есть компании подобного профиля куда без ITIL не берут, но они явно все внутри МКАД. )) Фраза "К чему все эти красноглазые велосипеды и программисткий зуд?", может быть смело опубликована в обсуждении чуть не каждой новости этого ресурса.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема