Comments 49
Вы Правида Дорожного Движения изучать будете так же как и iptables — методом тыка?
А что минусуете? Вот как это бы выглядело:
Автопилот для езды.
Автопилот отлично работает, пользоваться им очень удобно, указал место назначения и можно откинуться в кресле и заниматься своими делами…
Тем кто не пытался сам управлять автомобилем опишу как это происходит. Надо его завести!!! А как? Говорят ключ повернуть… Я вертел его и так и эдак. А оказалось его надо в руль вставить. Но это ещё не всё, завёлся — надо тронуться. Я чуть умом не тронулся пока случайно рычаг к буковке D не подвинул. А дальше вообще АД. Оказывается светофоры указывают что мне далеть — ехать или останавливаться. А для поворота надо включать поворотники. Когда в меня чуть не врезались — мне это объяснили на странном языке…
Автопилот для езды.
Автопилот отлично работает, пользоваться им очень удобно, указал место назначения и можно откинуться в кресле и заниматься своими делами…
Тем кто не пытался сам управлять автомобилем опишу как это происходит. Надо его завести!!! А как? Говорят ключ повернуть… Я вертел его и так и эдак. А оказалось его надо в руль вставить. Но это ещё не всё, завёлся — надо тронуться. Я чуть умом не тронулся пока случайно рычаг к буковке D не подвинул. А дальше вообще АД. Оказывается светофоры указывают что мне далеть — ехать или останавливаться. А для поворота надо включать поворотники. Когда в меня чуть не врезались — мне это объяснили на странном языке…
Супер мануал для блондинок! :)
>Я чуть умом не тронулся пока случайно рычаг к буковке D не подвинул.
Забыли тормоз нажать — на АТ коробках без этого обычно никак ))
Забыли тормоз нажать — на АТ коробках без этого обычно никак ))
Точно, причём автомобиль мне об этом ничего не скажет!!! Придётся в инструкцию лезть.
Скажет, громким-громким противным хрустом (если забудете тормоз нажать) :)
Чесно говоря не помню что слышал хруст, просто рычаг не двигался и всё. Может от модели зависит.
Я имею ввиду, если нажать с силой и сломать блокиратор :) А на некоторых машинах (не помню какие именно, но такие точно есть) настолько глупая коробка что позволяет переключение передач без нажатия тормоза, что само по себе может привести к поломке по незнанию (например, во время движения включить передачу R)
Ээээ, тут зависит от машины, коробки, ну и везения, конечно :)
Товарищ однажды ехал на старой квадратной Делике-автомате, хотел включить нейтралку, чтобы насладиться тишиной. Но нечаянно включил не нейтралку, а заднюю. Насладился визгом резины и экстренным торможением, пока успел сообразить, что же на самом деле происходит. Машинка спокойно перенесла это недоразумение, и ездит дальше по сей день.
Товарищ однажды ехал на старой квадратной Делике-автомате, хотел включить нейтралку, чтобы насладиться тишиной. Но нечаянно включил не нейтралку, а заднюю. Насладился визгом резины и экстренным торможением, пока успел сообразить, что же на самом деле происходит. Машинка спокойно перенесла это недоразумение, и ездит дальше по сей день.
Ну так там экзаменатор есть, а тут починил в одном месте — поломал в другом, узнал об этом на следующий день.
Что-то типа:
«У ПРИЯТЕЛЯ ДАМОЧКА ПЕРЕГРЕЛА МОТОР БЭХИ, РАСКАЗЫВАЕТ: ЕХАЛА Я ЕХАЛА, ЗАЧЕПИЛАСЬ ЗА ЛЮК, ЗАГОРЕЛСЯ ЧАЙНИЧЕК НА ПАНЕЛЬКЕ, Я НА ЗАПРАВКУ, ПОЛНЫЙ БАК НАЛИЛА, А ЧАЙНИЧЕК ВСЁ ГОРИТ. ВИДАТЬ СЛОМАЛОСЬ ЧЁТА. А ПОТОМ СТОП МАШИНА И ДЫМ ПОШЁЛ.»
«У ПРИЯТЕЛЯ ДАМОЧКА ПЕРЕГРЕЛА МОТОР БЭХИ, РАСКАЗЫВАЕТ: ЕХАЛА Я ЕХАЛА, ЗАЧЕПИЛАСЬ ЗА ЛЮК, ЗАГОРЕЛСЯ ЧАЙНИЧЕК НА ПАНЕЛЬКЕ, Я НА ЗАПРАВКУ, ПОЛНЫЙ БАК НАЛИЛА, А ЧАЙНИЧЕК ВСЁ ГОРИТ. ВИДАТЬ СЛОМАЛОСЬ ЧЁТА. А ПОТОМ СТОП МАШИНА И ДЫМ ПОШЁЛ.»
Ситуация типа такой?
«У ПРИЯТЕЛЯ ДАМОЧКА ПЕРЕГРЕЛА МОТОР БЭХИ, РАСКАЗЫВАЕТ: ЕХАЛА Я ЕХАЛА, ЗАЧЕПИЛАСЬ ЗА ЛЮК, ЗАГОРЕЛСЯ ЧАЙНИЧЕК НА ПАНЕЛЬКЕ, Я НА ЗАПРАВКУ, ПОЛНЫЙ БАК НАЛИЛА, А ЧАЙНИЧЕК ВСЁ ГОРИТ. ВИДАТЬ СЛОМАЛОСЬ ЧЁТА. А ПОТОМ СТОП МАШИНА И ДЫМ ПОШЁЛ.»
«У ПРИЯТЕЛЯ ДАМОЧКА ПЕРЕГРЕЛА МОТОР БЭХИ, РАСКАЗЫВАЕТ: ЕХАЛА Я ЕХАЛА, ЗАЧЕПИЛАСЬ ЗА ЛЮК, ЗАГОРЕЛСЯ ЧАЙНИЧЕК НА ПАНЕЛЬКЕ, Я НА ЗАПРАВКУ, ПОЛНЫЙ БАК НАЛИЛА, А ЧАЙНИЧЕК ВСЁ ГОРИТ. ВИДАТЬ СЛОМАЛОСЬ ЧЁТА. А ПОТОМ СТОП МАШИНА И ДЫМ ПОШЁЛ.»
1. А как насчет логирования пакетов? Или совместное использование с ubuntu FireWall ( ufw ).
2. IptAdmin работает от рутового пользователя? — вопрос о безопасности.
3. Обычно часто нужно использовать iptables на шлюзах (роутерах или серверах), но для этих целей существуют специальные дистрибутивы с настройкой файервола и проброса портов и всего остального добра, а для обычной серверной машины с каким то набором функционала надо, как правило, один раз настроить и больше туда не лазить и быстрее всего это сделать ручками, нежели устанавливать дополнительное ПО.
2. IptAdmin работает от рутового пользователя? — вопрос о безопасности.
3. Обычно часто нужно использовать iptables на шлюзах (роутерах или серверах), но для этих целей существуют специальные дистрибутивы с настройкой файервола и проброса портов и всего остального добра, а для обычной серверной машины с каким то набором функционала надо, как правило, один раз настроить и больше туда не лазить и быстрее всего это сделать ручками, нежели устанавливать дополнительное ПО.
1. Отображать counters конечно надо бы, сделаем. Логирование через -j LOG посложнее.
2. Об этом написано в посте, будем думать.
3. На специальные дистрибутивы сложно устанавливать дополнительное ПО. Например, торрент-клиент. Бывают ещё десктопы с внешним адресом, там тоже нужно настраивать файрволл.
2. Об этом написано в посте, будем думать.
3. На специальные дистрибутивы сложно устанавливать дополнительное ПО. Например, торрент-клиент. Бывают ещё десктопы с внешним адресом, там тоже нужно настраивать файрволл.
Про GUFW тоже было упомянуто.
Вы сами себе противоречите — предлагаете использовать «специальные дистрибутивы» а потом «быстрее всего это сделать ручками, нежели устанавливать дополнительное ПО»
Нажал минус исключительно за бессодержательную картинку в полэкрана.
За что было так издеваться над изображением Тукса?
А зачем висеть сервису с правами рута? Может следует сделать кроновский скрипт, который будет каждую минуту запускаться и проверять, нет ли для него инструкций по работе с iptables. Если таковые имеются, то инструкции парсятся и дают некоторый результат, который записывается далее в конфигурационный файл.
Сам бы веб-интерфейс крутился под пользователем «www» каким-нибудь. Или я туплю?
Сам бы веб-интерфейс крутился под пользователем «www» каким-нибудь. Или я туплю?
Всё правильно. Как-то так и будет.
Сейчас этому мешает механизм защиты от запрещения доступа к интерфейсу.
После каких-либо правок (запрос POST на сервер) сразу же производятся манипуляции с файрволлом. После этого клиенту отдаётся код 303 с редиректом на страницу отображения правила. Если в течении 10 секунд клиент не зашёл туда, то считаем добавленное правило запрещающим работу с интерфейсом, откатываем изменение.
Сейчас этому мешает механизм защиты от запрещения доступа к интерфейсу.
После каких-либо правок (запрос POST на сервер) сразу же производятся манипуляции с файрволлом. После этого клиенту отдаётся код 303 с редиректом на страницу отображения правила. Если в течении 10 секунд клиент не зашёл туда, то считаем добавленное правило запрещающим работу с интерфейсом, откатываем изменение.
Насторожила строка «Это пост о программе Iptables и о веб-интерфейсе для неё». Решил дочитать.
Что хотел описать автор? Введение в iptables — отсутствует, хоть какое-то мало-мальски понятное описание работы с iptadmin тоже.
Простите, но не понял назначения вашей статьи.
Похожие программы есть. Но подробного сравнительного анализа не проводилось.Интересно, а о чем тогда статья? Краткое описание iptadmin'а? Ну а «Послесловие для тех, кому посчастливилось не знать, что такое iptables» и вовсе непонятно что такое и кому адресовано.
Что хотел описать автор? Введение в iptables — отсутствует, хоть какое-то мало-мальски понятное описание работы с iptadmin тоже.
Простите, но не понял назначения вашей статьи.
Краткое описание iptadmin'а.
Да.
Вся остальная информация есть по ссылкам.
Да.
Вся остальная информация есть по ссылкам.
«Послесловие для тех, кому посчастливилось не знать, что такое iptables» — задумывалось всё таки как введение в iptables, ключевые слова.
Мне кажется, что введение в iptables должно выглядеть как-то так: http://easylinux.ru/node/190
У вас же больше похоже на изучение методом тыка, как правильно заметил товарищ 4dmonster
У вас же больше похоже на изучение методом тыка, как правильно заметил товарищ 4dmonster
1. Отличное введение, наверное, эта ссылка может помочь в освоении iptables.
2. Это не изучение, это выполнение повседневных административных задач в пятницу вечером.
Я совершенно не отрицаю что при должной тренировке даже сложные правила пишутся с первого раза. Но часто бывает опечатка в одной-двух опциях или пропуск опции. Суть в том, что интерфейс к netfilter оставляет желать лучшего.
2. Это не изучение, это выполнение повседневных административных задач в пятницу вечером.
Я совершенно не отрицаю что при должной тренировке даже сложные правила пишутся с первого раза. Но часто бывает опечатка в одной-двух опциях или пропуск опции. Суть в том, что интерфейс к netfilter оставляет желать лучшего.
А чем не устраивают приведенные более функциональные аналоги? Да и ИМХО лучше один раз разобраться с IPTables, чтобы научиться раз и навсегда писать правила вручную. Это будет лучше велосипеда.
Рекоомендую www.vuurmuur.org/trac/
Надо было оставить название статьи, трольфэйсного тукса, остальное все убрать и поместить в юмор.
Еще одна поделка ленивых быдлоадминов для неопытных ленивых быдлоадминов.
Было бы еще хорошо, например, демо на сайте поставить, и чтобы можно было загрузить свой иптэйблс и поковырять его.
У меня на модеме такой. Чем хвастаетесь?
Очень красиво!
Подскажите, где почитать о том, как настроить ваш плагин «Firewall»? Установил на ubuntu 10.10 из репозитория, показывает пустые таблицы filter, mangle, nat.
Подскажите, где почитать о том, как настроить ваш плагин «Firewall»? Установил на ubuntu 10.10 из репозитория, показывает пустые таблицы filter, mangle, nat.
Спасибо за помощь в настройке, плагин работает.
В дизайне с вами и впрямь тягаться сложно.
Но, ваш плагин:
— При попытке создания пользовательской цепочки INPUT удаляет все правила из цепочки INPUT.
— При попытке создания пользовательской цепочки LOG пользовательская цепочка LOG создаётся (!) и начинает конфликтовать с таргетом LOG.
— При попытке задания Source MAC address в цепочке «OUTPUT» возникает ошибка «iptables-restore: line 8 failed»
— При попытке создания в цепочке «PREROUTING» правила «MASQUERADE»: «iptables-restore: line 22 failed»
— При попытке задания Source port для протокола ICMP: iptables-restore v1.4.4: multiport only works with TCP, UDP, UDPLITE, SCTP and DCCP Error occured at line: 8 Try 'iptables-restore -h" or 'iptables-restore --help' for more information.
— При попытке создания правила -I INPUT -p tcp --dport 8000 -j DROP интерфейс безвозвратно пропадает вместе с доступом к настраиваемой системе.
Обработкой всех этих и многих других ситуаций и занимается Iptadmin. Несмотря на отсутствие дизайна и клиентского исполняемого кода.
Но у вас действительно плагин намного более удобен чем в webmin.
В дизайне с вами и впрямь тягаться сложно.
Но, ваш плагин:
— При попытке создания пользовательской цепочки INPUT удаляет все правила из цепочки INPUT.
— При попытке создания пользовательской цепочки LOG пользовательская цепочка LOG создаётся (!) и начинает конфликтовать с таргетом LOG.
— При попытке задания Source MAC address в цепочке «OUTPUT» возникает ошибка «iptables-restore: line 8 failed»
— При попытке создания в цепочке «PREROUTING» правила «MASQUERADE»: «iptables-restore: line 22 failed»
— При попытке задания Source port для протокола ICMP: iptables-restore v1.4.4: multiport only works with TCP, UDP, UDPLITE, SCTP and DCCP Error occured at line: 8 Try 'iptables-restore -h" or 'iptables-restore --help' for more information.
— При попытке создания правила -I INPUT -p tcp --dport 8000 -j DROP интерфейс безвозвратно пропадает вместе с доступом к настраиваемой системе.
Обработкой всех этих и многих других ситуаций и занимается Iptadmin. Несмотря на отсутствие дизайна и клиентского исполняемого кода.
Но у вас действительно плагин намного более удобен чем в webmin.
Имхо все равно, знание консоли не заменят картинки. Все таки как не крути, но *nix системы максимально гибко можно сконфигурировать лишь в старом добром терминале
По моему фаервол одна из тех вещей которой через веб интерфейс менее удобно управлять чем через cli.
Sign up to leave a comment.
Web-интерфейс для Iptables