Ты уверен, что его не машина генерировала?

Его и правда копипастят, однако вот это
" за ним спрятана секретная лаборатория, у которой на компах стоят кривейшие дырявейшие винды и макоси, которые впадают в синий экран от кривого ICMP пакета, а от кривого TCP пакета так вообще выдают всю секретную информацию наружу",
абсолютно точная правда.

Машине такое не по зубам. Там такие каляки-маляки, да еще и комментарии на ломаном английском.

Может. их сгенерировала какая-то кривая обёртка для iptables.

Ну надо же чем-то админам на работе хоть изредка заниматься, а не просто тупо весь день плевать в потолок. Надо же что-то в отчёты написать.

Избыток паранойи еще никому не помешал. А вот недостаток сгубил не одного штирлица. Хотя дома я с ипталесом вообще заморачиваться не стал, просто снёс дефолтный маршрут :)

что плохого в том, что админ лишний раз прикрывает себе задницу?

3-5 правил будет предостаточно

Ну, если через такие суровые правила всё работает, то да, можно. Трудности начинаются когда у тебя много клиентов на какой-то сервис, а на его надёжность и отсутствие дыр ты повлиять не можешь ааще никак.

А так иптаблес это первейшая вещь, сохраняющая ровный сердечный ритм и волосы на жопе в случае криворуких разработчиков сервисов.

В мелких конторах работают либо профи, либо школота. Первые из-за лени копипастят крутые конфиги, вторые учатся и копипастят с нета. Но если ты рулишь через 3-5 правил - давай конфиг в студию, иначе считаем за пустословие :)

В мелких конторах работают либо профи, либо школота

А если я не прохожу по возрасту во вторых, а по знаниям в первых - мне увольняться? ;)

из-за лени копипастят крутые конфиги

Дык в чём смысл писать с нуля заведомо не самый секурный конфиг, пусть и элементарный, когда проще скопипастить и подправить рабочий заведомо секурный?

Одмины, вы вообще в курсе что 3-5 правил будет предостаточно

# wc -l /etc/iptables/iptables.rules
89 /etc/iptables/iptables.rules

Это на домашней машине.

Избыток паранойи еще никому не помешал. А вот недостаток сгубил не одного штирлица.

+1

Про «мертвому припарки» слышали?

Про «лучше перебдеть, чем недобдеть» слышали?

не самый секурный конфиг

Никто не идеален / thread

под названием эникей

А если я не прохожу по возрасту

И на будущее, школота != школьник :D

Давай ка покажи мне твои 3-5 правил через которые всё работает. Или это для локалхоста, который только на вконтактик ходит?

Сейчас глянул у себя - 22 правила на инпуте, из которых теоретически выкинуть можно только штуки 4. И это обычная машинка с реальником.

и все остальные его просто копипастят.

вот тебе и ответ. Впрочем, правила чтобы прикрыть ssh или ограничить флуд я бы добавил. Но лень. А тачка моя как неуловимый джо...

Начнём немного срача. :)

А нафига ссх-то прикрывать, как же тогда на машинку-то снаружи зайти, если приспичит, перевесить на другой порт можно, но прикрывать-то зачем?

А нафига ссх-то прикрывать

под прикрытием я имел в виду защиту, а не -J DROP. Ограничить кол-во соединений с одного хоста, защитить от port probbing...

Аааа, тогда ясно. Хотя у меня весит на 22м порте себе и пока ещё даже попыток поломать не было, так что я и не парюсь особо.

и пока ещё даже попыток поломать не было

может у тебя внутренний ip? :) у меня даже на нестандартном порту auth.log пестрит.

Реальник как он есть, постоянно хожу к себе по ссх из интернетов. Учитывая, что я сам себе провайдер - говорю со знанием всех серверных конфигов.

А выложи пример, лучше каментов - вдруг моё =)

Впрочем, правила чтобы прикрыть ssh

Дык, ключа должно хватать для всех неуловимых джо минимум на ближайшее десятилетие.

откроют флуд на 22 порт и фиг ты залогинешься.

А разве с флудом не борются в целом, без привязки к конкретным портам? И зафлудить марсианами - это ещё надо постараться ;) о нужности суровых настроек iptables (комментарий)

Или это для локалхоста, который только на вконтактик ходит?

С прошлой работы, машина которая натила несколько тысяч клиентов было 14 правил.

на инпуте

А вот это уже попахивает локалхостом. Зачем инпут на роутере? Вместо того чтобы единственный открытый порт сделать отличным от 22, вы его закрыли таким же количеством правил?

Я много раз видел флуд, но от того флуда всякие фряшки и линупсы просто становятся раком даже с пустым фаерволом.

А разве с флудом не борются в целом, без привязки к конкретным портам?

ну вот я буду 10 сессий в секунду долбить с пару айпишников. Никто этого не заметит... Хм, странно что в man sshd_config не вижу настроек на эту тему, вроде было сколько может быть одновременно сессий в состоянии auth.

OK, начинай флудить

inet addr:217.28.77.234

ну вот я буду 10 сессий в секунду долбить с пару айпишников

sshd этого даже не заметит. Никаких проблем при залогинивании и близко не возникнет.

превысить MaxAuthTries, MaxSessions и MaxStartups и хана

А я где-то говорил, что это не локалхост? Именно он и есть.

А на шлюзе так их вобще под 100 т.к. только внешних каналов 3, 7 вланов и столько же подсетей. Научи как разрулить всё это меньшим количеством правил?

которые впадают в синий экран от кривого ICMP пакета

За закрытый ICMP echo надо руки отрывать. Или пожизненный эцих... Тьфу, запрет на звонки в техподдержку провайдеру.

sshd этого даже не заметит.

Где 10, там и 110. А это, уже, заметно.

OK, начинай флудить

Я ж говорю видел, а не флудил. И да, вспоминается когда клиент звонит - слезами рыдает «заблекхольте мне такой-то ип, а то сюда едет такой флуд, что мой бордер с линуксом даже намлоком перестает мигать если я ему этот влан подаю, и в результате тут вообще всё лежит». Так что я бы на вашем месте не был так уверен ;-)

А на шлюзе так их вобще под 100 т.к. только внешних каналов 3, 7 вланов и столько же подсетей.

Вообще не представляю нафейхоа там так много правил. Даже если нужны какие-то фильтрации и шейперы, то нужно где-то 20 максимум 30 правил.

Вы же в курсе про таблички ipset?

deny any any - ибо нефиг
зы а если серьёзно: разрешая что-то нужно руководствоваться правилом минимальной достаточности.

Если ты про это, то пример хороший и человек адекватный кто составлял, бложик тоже неплохой у него
Другое дело что сейчас это делается намного красивей через iptables save/restore и т.д., а не запускается каждый раз при старте
http://www.hermann-uwe.de/files/fw_laptop

вот да, вот я про такой бред как раз

Кстати сейчас вообще почти как для домохозяек лол, запилил правил, сохранил и более того есть еще скрипты на питоне которые их еще и сами автоматом просматривают и удаляют дубли и проводят оптимизацию. (правда потом нужно результат все равно проверять, а то иногда порядок рушат и это может выливаться в проблемы)
Если так пойдет то я не удивлюсь если появится генерилка правил голосовая какая-нибудь. Вебнутые я видел, но то что они генерят это лучше не видеть. Как-то занимался оптимизацией такого добра. Так вот конфиг весом более 285мб с iptables-save удалось уменьшить до толи 12, толи 20 строчек.