Comments 17
Хабр, что с тобой? Вчера статья, про то, как посмотреть список файлов в директории, сегодня — как добавить ip-адрес в iptables.
Имхо, тэг Серверное администрирование* здесь неуместен от слова "совсем". На серверах настраиваются iptables с кучей разных плюшек и приколов, которых вообще нет в ufw.
Будем признательны, если Вы напишите статью об этом и пришлете её нам (либо опубликуете от своего имени в нашем блоге) — мы с радостью опубликуем это дополнение и даже можем обсудить вознаграждение за Ваш труд.
Наши клиенты — не все профессиональные администраторы и для многих даже эта публикация — "системное администрирование".
Помимо прочего на Хабре реально не хватает материалов для "чайников", которые многим начинающим веб-мастерам были бы полезны (именно веб-мастерам, а не только системным администраторам, хотя администраторы — также разных познаний и опыта бывают). Именно в этом наша задача, давать возможность нашим клиентам осваивать какие-то азы просто, а не писать монографии для системных администраторов с многолетним опытом.
Наши клиенты — не все профессиональные администраторы и для многих даже эта публикация — "системное администрирование".
Помимо прочего на Хабре реально не хватает материалов для "чайников", которые многим начинающим веб-мастерам были бы полезны (именно веб-мастерам, а не только системным администраторам, хотя администраторы — также разных познаний и опыта бывают). Именно в этом наша задача, давать возможность нашим клиентам осваивать какие-то азы просто, а не писать монографии для системных администраторов с многолетним опытом.
Это и есть обвязка к iptables. Аналогично и shorewall, и firewalld.
Далеко не всегда на серверах нужны «кучи плюшек», во многих случаях хватает открыть четыре порта и related,established на вход.
Далеко не всегда на серверах нужны «кучи плюшек», во многих случаях хватает открыть четыре порта и related,established на вход.
UFO just landed and posted this here
из таких надстроек мне ferm (http://ferm.foo-projects.org/) больше нравится
Почему-то о нем очень мало упоминаний, хотя ferm просто замечательный. Он очень простой и крайне удобный, позволяет делать все то, что можно сделать через iptables, ip6tables и ebtables удобно, ничего не скрывая, зато добавляет циклы, переменные, списки, которых очень не хватает в *tables.
С ferm не будет такого, что временно добавленные правила забыли сохранить, и после перезагрузки у нас в файрволле не то, что ожидалось, и приходится разгребать все это, смотреть в зачастую не самый понятный вывод iptables -vnL.
С ferm не будет такого, что временно добавленные правила забыли сохранить, и после перезагрузки у нас в файрволле не то, что ожидалось, и приходится разгребать все это, смотреть в зачастую не самый понятный вывод iptables -vnL.
Тот случай, когда комментарий полезней статьи. Надо поискать, есть ли ферма под CentOS.
Но вообще, с админскими масштабами где количество хостов 10+ а количество виртуалок за полсотни, разве что ansible'ом фаерволы раздавать, или chef/puppet'ами
Но вообще, с админскими масштабами где количество хостов 10+ а количество виртуалок за полсотни, разве что ansible'ом фаерволы раздавать, или chef/puppet'ами
Есть в EPEL репах. А с CM тулами — иногда проще iptables рулить, иногда темплейтами того же ferm'a… Тут уж кому что. В принципе пару статей на хабре есть, в общем и целом особо там разжевывать нечего :) Из вкусностей там еще можно писать что-то похожее на функции.
Использовали такой подход, но с классическим подходом (ipstable-save/iptables-restore) работать крайне неприятно: сбрасываются активные соединения, динамически добавленные цепочки (типа докеровской или fail2ban'овской).
В rhel/centos 7 есть firewalld, который вполне разумен с точки зрения юзабилити. Внизу, естественно, используется iptables. Что хорошо — он имеет так называемые direct правила, позволяющие использовать iptables, когда стандартного интерфейса не хватает. Ну и прописывание правил с таймаутом — тоже прекрасная вещь.
В rhel/centos 7 есть firewalld, который вполне разумен с точки зрения юзабилити. Внизу, естественно, используется iptables. Что хорошо — он имеет так называемые direct правила, позволяющие использовать iptables, когда стандартного интерфейса не хватает. Ну и прописывание правил с таймаутом — тоже прекрасная вещь.
UFO just landed and posted this here
Эээ, что это? «Вредоносные IP адреса»? Инструкция как позвать «ufw deny»? Перевод двух строчек из «man ufw»?
Серьёзно, такая статья может пригодиться в ЧаВо вашего провайдера в разделе справки, для тех, кто ищет информацию именно там. А что тут нового и интересного для местного сообщества — не совсем понимаю.
Серьёзно, такая статья может пригодиться в ЧаВо вашего провайдера в разделе справки, для тех, кто ищет информацию именно там. А что тут нового и интересного для местного сообщества — не совсем понимаю.
Sign up to leave a comment.
Как заблокировать IP адреса через ufw