(Еще одно) HOWTO по конфигурированию фаервола своими руками

4

2

Здравствуйте.
Предлагаю вашему вниманию еще одно руководство по самостоятельной настройке
фаервола/маршрутизатора на базе GNU/Linux (iptables+tc) для небольшого офиса.
Здесь http://handmade-linux-firewall.narod.ru/
Зеркало http://hlf.netii.net/

В отличие от других текстов подобного рода:
- вопросы фильтрации, маршрутизации, управления трафиком 
  рассматриваются в совокупности и взаимосвязи на функционально
  законченном примере сети; 
- предлагается унифицированная схема организации правил и цепочек iptables - это основное  ради чего этот «велосипед» изобретался;
- предлагается схема управления трафиком (опять же в некотором роде универсальная);
- рассматривается реально эксплуатируемый набор правил (полный листинг);
- включает исходники фаервола с(о всё еще неполным) описанием функционирования;
- есть картинки :)
- на русском.
Данной текст используется мною как сборник моих текущих знаний в данной области
и как рабочая шпаргалка.

Ссылка

←	Бекапы локальной машины

Шейпинг трафика трафика без явного указания скорости канала

→

Текст ещё не закончил читать, но шрифты страшные :-)

undertaker ★★
(03.09.13 12:52:29 MSK)

Ответ на: комментарий от undertaker 03.09.13 12:52:29 MSK

Подскажите, что не так со шрифтами? Я юзаю ЭЛТ-монитор 1024*768 - для меня нормально. На ЖК не проверял... Шрифт Times New Roman - он ужасен? 14px - мелко? Какой шрифт вы бы порекомендовали?

gapsf2
(03.09.13 17:26:47 MSK) автор топика

Ссылка

Рекомендую также обратить внимание на firewalld продвигаемый RH в новых версиях Fedora (c 18 вроде).

~~gh0stwizard~~ ★★★★★
(03.09.13 17:38:13 MSK)

Ссылка

Ответ на: комментарий от undertaker 03.09.13 12:52:29 MSK

Я вспомнил, почему я когда-то остановился на таком шрифте - его часто используют в HOWTO. Например из свежего: http://www.tldp.org/HOWTO/User-Group-HOWTO-4.html#ss4.1 Более старые HOWTO на tldp.org тоже используют Times New Roman.

gapsf2
(03.09.13 19:04:48 MSK) автор топика

Ответ на: комментарий от gapsf2 03.09.13 19:04:48 MSK

По ссылке, приведенной вами, вообще никакой шрифт не установлен, поэтому браузер использует тот шрифт, который задан по умолчанию. На планшете у меня это вообще какой-то из sans-ов, тут, как видно, какой-то serif, но не times.

http://i57.fastpic.ru/big/2013/0904/18/3dc980418e412a1aaee3a8894b11b518.png

У вас же явно указан times, что приводит вот к какому результату:

http://i57.fastpic.ru/big/2013/0904/19/a806608f8f0c5720463e76c68d8daa19.png

undertaker ★★
(04.09.13 11:34:05 MSK)

Ответ на: комментарий от undertaker 04.09.13 11:34:05 MSK

Убрал font-family из стиля.

gapsf2
(06.09.13 08:35:29 MSK) автор топика

Ссылка

Лучше бы про firewalld.

i_gnatenko_brain ★★★★
(06.09.13 08:49:47 MSK)

Ответ на: комментарий от i_gnatenko_brain 06.09.13 08:49:47 MSK

А что вы хотите узнать про firewalld? Берите и пользуйтесь. Предлагаемое HOWTO не описывает какую-то надстройку над iptables типа shorewall, firewalld, ferm, ufw, uif и т.п. Описываются основы, которые позволят вам польозваться любой надстройкой: комбинация правил фильтрации, NAT, маршрутизация, управление трафиком и т.п. Своего рода сборник моих знаний. За 10 лет аналогов на русском я таких не встречал. Это для тех, кто хочет понять «кишки», для тех кто любит понимать и разбираться «как оно там унутре устроено». А никакая надстройка не поможет, без понимания основ, решить вопросы подобные этому http://www.opennet.ru/openforum/vsluhforumID1/94983.html

Я бегло посмотрел возможности firewalld https://fedoraproject.org/wiki/FirewallD. Основное на что там напирают - «динамичность», т.е. соединения не разрываются при изменении правил. Этого же можно достичь обычним средствами, загружая набор правил командой 'iptables-restore'. Насколько я понял из исходников ядра и собственного опыта замена старых правил на новые при этом происходит атомарно и соединения не разрываются. Этот подход используется в shorewall и моем поделии. В firewalld, насколько я вижу по исходникам, это достигается тем, что будучи запущенным firewalld «держит» в памяти информацию о текущем состоянии набора правил, чтобы он мог с помощью этой информации инкрементально менять правила в ядре командой `iptables`. Спорное решение...

И второе что можно сказать. В firewalld нет интеграции с подсистемой управления трафикам. А на шлюзах организаций, поверьте, это востребовано. Опять же в shorewall и моем поделии эта интеграция есть. И дан рабочий пример как настроить управление трафиком и интегрировать его с другими подсистемами.

Это не значит, что firewalld плохой. Я вижу что он на данном этапе ориентирован на десктоп, а не на сервера и у него, скажем так, управление попроще и как следствие возможностей меньше чем у shorewall. Понимаете, эта разница проявлятся там где сетями занимаются, т.е. обычно «на производстве». А на десктопе это вполне годный подход, схожий с виндовым - чтобы удобно было и через GUI управлять. Для меня интереснее то, что возможно станет заменой iptables - nftables. Ну или shorewall поковырять. nftables, на мой взгляд, перспективная замена iptables и она по сути сделает ненужными все эти надстройки, по крайней мере в их нынешнем виде. Вы это хотели услышать про firewalld?

gapsf2
(06.09.13 20:28:15 MSK) автор топика