нужен особый фаерволл

чтобы на каждое событие запроса можно было повесить скрипт, не придумывая велосипедов вида

tail -f log | sed | awk | grep

гуглю постоянно, но пока по нулям.

ps tactical bump

>Надо оффтопную патченую прогу в виртуальном карантине подержать чтоб глянуть куда та хочет наябедничать...

закрываешь браузер, почтовик и IM, запускаешь tcpdump, вытаскиваешь пачкорд, запускаешь свою программу.

>>tcpdump

Да это я в курсе, просто хотелось чтоб оно мне уведомления на блюдечке подносила.

Неужели еще не прикрутили к фаерволу генератор сообщений типа "принять/отклонить такое-то правило"?

firestarter посмотри, как виндовый он не умеет окошки выкидывать, только в трее предупреждает. Соединения умеет мониторить.

>Да это я в курсе, просто хотелось чтоб оно мне уведомления на блюдечке подносила.

ну не знаю, я себе большего "на блюдечке" представить не могу

>Неужели еще не прикрутили к фаерволу генератор сообщений типа "принять/отклонить такое-то правило"?

вспоминаю как полез первый раз в макосную консоль, пинганул какой-то хост - вылезло окошко с запросом на авторизацию пинга )

Да и там список соединений заблокированных есть, от туда можно правила добавлять сразу http://img6.imageshack.us/img6/8384/screenshotim.png. В общем подойдет наверное.

>ну не знаю, я себе большего "на блюдечке" представить не могу
ппц, что консоль с людьми делает :)

Блин, ну тупыыыые... Что, так трудно завести отдельного юзера и запустить программу из-под него, а в iptables вписать на этого юзера правила LOG и DROP? Обленились, отупели...

Просто использование windows и outpost firewall разрушает мозг^W^W порождает странные идеи о работе и назначении файрвола.

>>Блин, ну тупыыыые... Что, так трудно завести отдельного юзера и запустить программу из-под него, а в iptables вписать на этого юзера правила LOG и DROP?

>>Обленились, отупели...

не то слово: тем не читают, а лезут вякать с диагнозами своими, не упершимиcя никому.

У меня под виртуалбокс в локалку подшит, из под какого к чертям собачьим юзера если пакет на интерфейс приходит?

Или мне прикажешь разбираться с наследованием прав в виртуализаторе??

>>порождает странные идеи о работе и назначении файрвола.

А через годы эти идеи становятся стандартами, и только списанные ворчливые седые консольщики бормочут вслед прогрессу проклятия на забытых диалектах.

s/под//

fix

> У меня под виртуалбокс в локалку подшит, из под какого к чертям собачьим юзера если пакет на интерфейс приходит?

ЕСЛИ исследуемый объект запущен внутри VirtualBox, то исследовать его надо средствами, установленными внутри этого же VirtualBox.

Если же внутри VB крутится нечто совсем странное, то VB можно запустить в режиме изолированной виртуальной локальной сети (host-only networking), и пакеты из это сети маршрутизировать "наружу", с последующим их исследованием и зарезанием на уровне filter.FORWARD.

Осиль матчасть, и не задавай глупых вопросов.

> У меня под виртуалбокс в локалку подшит

Осиль host-only networking.

>>ЕСЛИ исследуемый объект запущен внутри VirtualBox, то исследовать его надо средствами, установленными внутри этого же VirtualBox.

Чушь.

>>VB можно запустить в режиме изолированной виртуальной локальной сети (host-only networking)

Ну а у меня bridged на интерфейс локалки, один фиг парсить можно iptables-ами, но я с самого начала сказал что мне это не нужно.

>>Осиль матчасть, и не задавай глупых вопросов.

Осиль вопрос, и не выдавай глупых советов, а не в настроении так обгавкай лучше прохожих из окна.

Иметь туеву кучу звезд и не понимать, что за много лет существования фаервола обязательно найдется либа триггеров на запрос новых правил с красивой скриптовой обвеской.

>А через годы эти идеи становятся стандартами, и только списанные ворчливые седые консольщики бормочут вслед прогрессу проклятия на забытых диалектах.

Ну типа программиста на коболе и сейчас можно найти, но найденного скорее всего отловят, заспиртуют и выделят на него отдельный зал в музее компьютерной техники.

Да.

*Я не вкурил к чему это.

Повторю на всякий случай, что ничего плохого в том, чтоб заимствовать удачные концепты из проприетарного софта - нет.

Программирование на коболе как раз было стандартом для таких как ты несколько (десятков) лет назад.

Не вижу причинно-следственной связи между неприжившимся синтаксисом программирования и запретом на поиск скриптовой обертки для рутинной операции парсинга.

>>Да и там список соединений заблокированных есть, от туда можно правила добавлять сразу http://img6.imageshack.us/img6/8384/screenshotim.png. В общем подойдет наверное.

спасибо, похоже на нужное.

Что характерно: firestarter — всего лишь гламурная мордочка для iptables. Причем одна из многих.
Лафа нынче блондинкам в линухе :)

Топикстартеру рекомендую вернуться на винду.

>>Лафа нынче блондинкам в линухе

>>5:52:42

Старые рваные раны консольно-анальную юности не дают спокойно спать?

>>Топикстартеру рекомендую вернуться на винду.

Топиквстрятеру рекомендую включить мозг и не давать идеологии зохавать разум, сколько бы его ни было.

Когда сложность системы достигнет возможности наглядного и исчерпывающего самоописания (а это по сути и есть графический интерфейс), то промежуточные уровни организации информации отправляются на свалку истории вместе со своими упернутыми адептами.

Думаю, даже истинная блондинка осилит настроить arno-iptables-firewall средствами debconf.

>>Думаю, даже истинная блондинка осилит настроить arno-iptables-firewall средствами debconf.

Я смотрю добрая половина ЛОРа настолько озабочена проблемой "осиливания", что кажется у кое-кого это действительно проблема, а её решение - способ самоутверждения, способ доказать всему миру свою значимость.

Ух, как разогнался.

# aptitude install arno-iptables-firewall

Дальше просят ответить на несколько простых вопросов с безопасными умолчаниями и подсказками. Это сложно? Да? Тогда сочувствую.

> Это сложно? Да? Тогда сочувствую.

Да отстаньте вы от него. Человек же сказал, что думать не хочет, а хочет кнопку нажимать "разрешить/запретить":)

>>Это сложно? Да?

Ты передергиваешь у всех на виду, и даже не стесняешься. Речь шла про iptabl-ы

А я по-твоему, о чём? Я привёл процедуру настройки iptables.

> Когда сложность системы достигнет возможности наглядного и исчерпывающего самоописания (а это по сути и есть графический интерфейс), то промежуточные уровни организации информации отправляются на свалку истории вместе со своими упернутыми адептами.

Здорово сказал. Я, пожалуй, это запишу, хотя ничего не понял.

>>Человек же сказал, что думать не хочет

Думать за уже написанный сотни раз очевидный скрипт безропотно согласится только полный идиот.

>>А я по-твоему, о чём? Я привёл процедуру настройки iptables.

А я про белесые консольные душные ip-таблы, с безличными рыхлыми комментами, скупыми, как *** импотента, и неоднозначными, как библейский вздор

>Думаю, даже истинная блондинка осилит настроить arno-iptables-firewall средствами debconf.

Ага, слышал и про эту фиговину. Не мордочка, но гораздо лучше.
А вообще этих надстроек к айпистолам до задницы. Например, http://wiki.debian.org/Firewalls (это только один из многих списков, да и то далеко не полный).

Впрочем, у нормальных администраторов хватает знаний о стеке TCP/IP, чтобы конфигурировать айпистолы вручную :) Другое дело, что порой удобнее развернуть уже практически готовую болванку, чем любовно полировать отдельные детали. Впрочем, после первых нескольких месяцев такой работы у большинства админов уже скапливается библиотечка собственных решений.

P.S. Топикстартер люто, бешено доставляет. Такие феерические ламеры — редкость для нынешнего лора.

То есть ты аскетизм надежной ситемы считаешь крутостью. Ты идиот.

Выбор "нормальных администраторов" определен исключительно НАДЕЖНОСТЬЮ, и промежуточные скриптовые прослойки им мешают. Но дома у них у всех стоит бубунта, потому что дома критично удобство а не надежность.

А для тебя стыдно и унизительно садиться в экскаватор, ведь иначе твои дружбаны-безмозглые задроты посчитают тебя "ниасильщком лопаты".

Что ж, удачи тебе и твоей будущей грыже, а я поехал копать себе роскошный бассейн, насвистывая.

зы ну точно еще один наркодиспансер к интернету подключили

Vuurmuur supports traffic shaping, has powerful monitoring features, which allow the administrator to look at the logs, connections and bandwidth usage in realtime

http://www.vuurmuur.org/trac/

Но это тоже надстройка над iptables

>Но это тоже надстройка над iptables

Открою вам страшный секрет: в линухе только _один_ фаервол — netfilter. И только один интерфейс к нему — iptables. Монополия, понимаете ли :) Поэтому _все_ подобные «фаерволы» являются надстройками над iptables. По определению.

P.S. Топикстартер продолжает жечь напалмом. РыдалЪ xD

Что на ЛОРе за мания, постоянно.

Человек задал конкретный вопрос. В результате устроили срачь и пытаются показать кто умнее. Смотрите чтоб бошки не лопнули