Pull to refresh

Comments 17

Да этот хостинг провайдер постоянно фигню постить умудряется. Страшно представить какие там люди работают, если для них это открытие %)
На днях было про то, как обновить Debian 8.2 к версии 8.3
*facepalm*
Будем признательны, если Вы напишите статью об этом и пришлете её нам (либо опубликуете от своего имени в нашем блоге) — мы с радостью опубликуем это дополнение и даже можем обсудить вознаграждение за Ваш труд.
Наши клиенты — не все профессиональные администраторы и для многих даже эта публикация — "системное администрирование".
Помимо прочего на Хабре реально не хватает материалов для "чайников", которые многим начинающим веб-мастерам были бы полезны (именно веб-мастерам, а не только системным администраторам, хотя администраторы — также разных познаний и опыта бывают). Именно в этом наша задача, давать возможность нашим клиентам осваивать какие-то азы просто, а не писать монографии для системных администраторов с многолетним опытом.
Ваша задача понятна, пропиарить свои услуги или свою компанию, не больше и не меньше, благодаря подобным статьям на хабре всё больше и больше статей, которые не интересны, просто поиск по слову iptables на хабре даёт очень много материала, как для опытных, так и для начинающих. К сожалению на хабре нет возможности забанить все статьи в определенном блоге, если они одновременно в разных разделах, приходится, а то я думаю многие бы уже забанили ваш блог, несмотря на то, что я не имею ничего против вашей компании, но сумма пользы от постов, которые публикуются в вашем блоге, около нуля, полезные нивелируются бесполезными и только зря отвлекающими время и внимание.
Это и есть обвязка к iptables. Аналогично и shorewall, и firewalld.
Далеко не всегда на серверах нужны «кучи плюшек», во многих случаях хватает открыть четыре порта и related,established на вход.
В итоге это просто скриптик на питоне для эмуляции ipfw like интерфейса :(
Он же просто фронтенд к iptables/netfilter. Можно взять какую-нибудь виртуалку с убунтой, поставить ufw и посмотреть на выхлоп iptables-save.
из таких надстроек мне ferm (http://ferm.foo-projects.org/) больше нравится
Почему-то о нем очень мало упоминаний, хотя ferm просто замечательный. Он очень простой и крайне удобный, позволяет делать все то, что можно сделать через iptables, ip6tables и ebtables удобно, ничего не скрывая, зато добавляет циклы, переменные, списки, которых очень не хватает в *tables.
С ferm не будет такого, что временно добавленные правила забыли сохранить, и после перезагрузки у нас в файрволле не то, что ожидалось, и приходится разгребать все это, смотреть в зачастую не самый понятный вывод iptables -vnL.
Тот случай, когда комментарий полезней статьи. Надо поискать, есть ли ферма под CentOS.
Но вообще, с админскими масштабами где количество хостов 10+ а количество виртуалок за полсотни, разве что ansible'ом фаерволы раздавать, или chef/puppet'ами
Есть в EPEL репах. А с CM тулами — иногда проще iptables рулить, иногда темплейтами того же ferm'a… Тут уж кому что. В принципе пару статей на хабре есть, в общем и целом особо там разжевывать нечего :) Из вкусностей там еще можно писать что-то похожее на функции.
Использовали такой подход, но с классическим подходом (ipstable-save/iptables-restore) работать крайне неприятно: сбрасываются активные соединения, динамически добавленные цепочки (типа докеровской или fail2ban'овской).

В rhel/centos 7 есть firewalld, который вполне разумен с точки зрения юзабилити. Внизу, естественно, используется iptables. Что хорошо — он имеет так называемые direct правила, позволяющие использовать iptables, когда стандартного интерфейса не хватает. Ну и прописывание правил с таймаутом — тоже прекрасная вещь.
Эээ, что это? «Вредоносные IP адреса»? Инструкция как позвать «ufw deny»? Перевод двух строчек из «man ufw»?
Серьёзно, такая статья может пригодиться в ЧаВо вашего провайдера в разделе справки, для тех, кто ищет информацию именно там. А что тут нового и интересного для местного сообщества — не совсем понимаю.
Полезны бывают разве что комментарии под такими статьями. И то редко ,)
Only those users with full accounts are able to leave comments. Log in, please.