Комментарии 2
Маловато про сами правила.
Есть неявные места при варианте «все запрещено кроме разрешенного» при работе с разными сервисами, к примеру пропуск NFS, FTP с их динамическими портами. Это отсылает нас либо к настройке сервисов, либо к настройке соответствующих helper в shorewall.
Отдельно было бы неплохо упомянуть о работе с ipset в разрезе shorewall ибо рано или поздно люди к ним прийдут.
Ну и предупредить, что shorewall без helper'ов не разбирает содержимое пакетов как это делают многие из аппаратных firewall.
Есть неявные места при варианте «все запрещено кроме разрешенного» при работе с разными сервисами, к примеру пропуск NFS, FTP с их динамическими портами. Это отсылает нас либо к настройке сервисов, либо к настройке соответствующих helper в shorewall.
Отдельно было бы неплохо упомянуть о работе с ipset в разрезе shorewall ибо рано или поздно люди к ним прийдут.
Ну и предупредить, что shorewall без helper'ов не разбирает содержимое пакетов как это делают многие из аппаратных firewall.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Программный интернет шлюз для уже не маленькой компании (Shorewall, OpenVPN, OSPF). Часть 2