toxxxa13 Mar 18 2012 at 17:43

Добавление правил в IPFW через web-интерфейс

3 min

3.6K

Server Administration*System administration*

-4

Comments 18

iByte Mar 18 2012 at 18:10

Мы такое еще в 2001 в компьютерном клубе делали — через вебфейс управляли ipchains для открытия/закрытия доступов к инету. Тоже через apache+php+mysql. Правда, без ssl.

EvilX Mar 18 2012 at 19:17

Что нет валидации — это хорошо.

bondbig Mar 18 2012 at 19:48

И что только не придумают, лишь бы VPN не организовывать.

toxxxa13 Mar 18 2012 at 19:54

Откуда его организовывать? С телефона?

bondbig Mar 18 2012 at 20:03

Почему нет?

toxxxa13 Mar 18 2012 at 20:05

Это хорошо когда есть VPN в телефоне. В моем нет такой возможности.

bondbig Mar 18 2012 at 20:09

N3310?
okay_face.jpg

toxxxa13 Mar 18 2012 at 20:12

Плюс задача стояла таким образом чтобы кроме 80, 88 и 443 порта ничего не было открыто. А с VPN сервером еще и туда будут ломиться и пытаться подобраться логины/пароли еще и там

bondbig Mar 18 2012 at 20:17

а на этот веб-интерфейс не будут, м? И вообще, что за паранойя на эту тему?
Право слово, даже порт-нокинг лучше, чем такое.

toxxxa13 Mar 18 2012 at 20:24

Для порт-нокинг нужна еще клиентская часть. Опять вопрос всплывает — телефоны, планшеты, etc.
Чисто теоретически ломится будут и на 443. Только на данной машине поднят не один виртуальный хост. И максимум что я вижу так это попытки роботов найти вход в админку. И ни одной попытки входа на https за все время

bondbig Mar 18 2012 at 20:28

Так, стоп. У тебя в телефоне нет даже ssh/telnet-клиента, хоть на java какой-нибудь? И ты собираешься с него админить МСЭ? Какой-то странный use-case. Ничего не понимаю в постановке задачи тогда. Не вижу ответа на вопрос «ЗАЧЕМ?» Точнее, написанное в топике (надо попадать по ssh на девайс) противоречит написанному в комментах (у меня сименс A35 и я им очень дорожу).

toxxxa13 Mar 18 2012 at 20:35

ssh/telnet есть.
Я соглашусь что с VPN возможно было бы удобнее, но данный способ мне кажеться более рациональным с точки зрения юзабильности.

bondbig Mar 18 2012 at 20:38

ну, у всех свое понятие о рациональности и юзабильности.
В моем случае битву «стандартное, проверенное, надежное решение» VS «костыли с привлечением ~~изоленты~~ программистского зуда и потенциально уязвимых к разного рода атакам служб (привет, индеец!)» побеждает первое. Нокаутом, в первом раунде.

iByte Mar 18 2012 at 20:03

Кстати, такой подход позволяет давать порулить не профессионалам — знай себе на кнопочки нажимай. Для некоторых случаев — удобная вещь.

bondbig Mar 19 2012 at 14:16

опасная вещь.

ingiboy Mar 19 2012 at 15:54

Главное — встроить в скрипты запрет на возможность явного или опосредованного закрытие доступа к 80/443/етц-где-там-сервис-висит порту. Иначе только прямой массаж ~~сердца~~ консоли :)

iByte Mar 19 2012 at 19:36

Ну мы же не про управление ядерным реактором говорим, верно? Например, стандартный случай: небольшая контора с приходящим админом и шлюзом на linux. А директор хочет конкретной машине открывать/закрывать Инет. Не дергать же каждый раз специалиста? И такой подход прост и эффективен. Директор заходит на запароленую страницу и одним нажатием открывает секретарше Инет или закрывает в зависимости от настроения.

bondbig Mar 19 2012 at 19:37

мда, жизненный use-case, ничего не скажешь )