Исходное сообщение
"Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..." Отправлено Alex, 16-Июл-09 03:52
Честно говоря совершенно не понял цели данной надстройки. Правила построения файервола - это очень сисадминская задача, требующего понимания и щепетильности. Всяческое упрощение приведет к появлению недосмотров и в итоге дырок. И опять же человек, ВРИО сисадмина, который не проверил фаерволл!!! зря получает зарплату. А теперь по самой программе. Вся сила и прелесть iptables именно в его цепочках и таблицах. Т.е. если человеку надо создать собственную цепочку - то надо очень плотно поработать с этой программой, не лучше ли это время потратить на изучение самого iptables? Второй момент: дополнительные модули. Их много и с самым разным функционалом и опциями, боюсь что в полном объеме поддержку всех модулей реализовать просто нереально. Значит останутся места где надо будет доделывать функционал фаервола руками, а это опять же дыра в защите. Я лично видел негатиный результат от использования некоторыми сисадминами надстройки shorewall, народ просто сидел на упрощенной схеме и даже не пытался разобраться. Я так считаю если общее количество правил не прывашает 50-100 строк - то все они легко читаются и настраиваюстя штатными средствами. А если количество правил больше, и чем больше тем это актуальней - то ручная правка и тщательная проверка крайне необходима. ИМХО: людям которые мне показали эту ссылку я нерекомендую использовать данную прогу. Обычные проблемы у новичков - набор правил для предотвращения атак с внешнего интерфейса, есть масса примеров с готовыми правилами описывающую данную ситуацию. А у специалистов - я думаю вывод будет простой.