1. Отличное введение, наверное, эта ссылка может помочь в освоении iptables.
2. Это не изучение, это выполнение повседневных административных задач в пятницу вечером.
Я совершенно не отрицаю что при должной тренировке даже сложные правила пишутся с первого раза. Но часто бывает опечатка в одной-двух опциях или пропуск опции. Суть в том, что интерфейс к netfilter оставляет желать лучшего.
Сейчас этому мешает механизм защиты от запрещения доступа к интерфейсу.
После каких-либо правок (запрос POST на сервер) сразу же производятся манипуляции с файрволлом. После этого клиенту отдаётся код 303 с редиректом на страницу отображения правила. Если в течении 10 секунд клиент не зашёл туда, то считаем добавленное правило запрещающим работу с интерфейсом, откатываем изменение.
1. Отображать counters конечно надо бы, сделаем. Логирование через -j LOG посложнее.
2. Об этом написано в посте, будем думать.
3. На специальные дистрибутивы сложно устанавливать дополнительное ПО. Например, торрент-клиент. Бывают ещё десктопы с внешним адресом, там тоже нужно настраивать файрволл.
Одно дело рассказать о возможностях. Но решать, что является удобным, интересным, идеальным, приятным, довольно качественным, полезным и нужным может быть стоит оставить пользователям?
Planning poker и вообще весь аджайл и всё что отличается от методологии «водопад» придумали некомпетентные кодеры.
Проблем то нет, просто надо набрать компетентных ведущих программистов, оценить сроки, а потом спроектировать, запрограммировать, протестировать и ввести в эксплуатацию с погрешностью в неделю.
Только не надо говорить ему о том, что вы не в состоянии сейчас определить сколько времени и сил понадобится на задачу и хватит ли вам их, если это действительно так — идите курит бамбук, вы не ведущий программист, и даже не программист, просто кодер.
2. Это не изучение, это выполнение повседневных административных задач в пятницу вечером.
Я совершенно не отрицаю что при должной тренировке даже сложные правила пишутся с первого раза. Но часто бывает опечатка в одной-двух опциях или пропуск опции. Суть в том, что интерфейс к netfilter оставляет желать лучшего.
Вопросы и критика то приветствуются, с удовольствием подскажу если что-то непонятно.
Да.
Вся остальная информация есть по ссылкам.
Сейчас этому мешает механизм защиты от запрещения доступа к интерфейсу.
После каких-либо правок (запрос POST на сервер) сразу же производятся манипуляции с файрволлом. После этого клиенту отдаётся код 303 с редиректом на страницу отображения правила. Если в течении 10 секунд клиент не зашёл туда, то считаем добавленное правило запрещающим работу с интерфейсом, откатываем изменение.
2. Об этом написано в посте, будем думать.
3. На специальные дистрибутивы сложно устанавливать дополнительное ПО. Например, торрент-клиент. Бывают ещё десктопы с внешним адресом, там тоже нужно настраивать файрволл.
Одно дело рассказать о возможностях. Но решать, что является удобным, интересным, идеальным, приятным, довольно качественным, полезным и нужным может быть стоит оставить пользователям?
Проблем то нет, просто надо набрать компетентных ведущих программистов, оценить сроки, а потом спроектировать, запрограммировать, протестировать и ввести в эксплуатацию с погрешностью в неделю.
«Ты же профессионал!»
Очень интересно, сделайте же это.
Близко не подойду к этим кранам.