Комментарии 8
Хозяин — барин, конечно. Но стоит ли дублировать текстовик по ссылке? Тем более в целевом дебиане или убунте браузер всё равно txt скорее всего откроет во вкладке рядом для просмотра, а не сохранит. :)
Объясните, зачем в конец некоторых цепочек вставлено "-j RETURN". Это ж вроде действие по умолчанию.
И ещё, почему б не объединить, например,
в
Ещё можно объединить 4 фрагмента "# drop all MS stuff so that it won't clutter logs" в один с циклом.
И, наконец, как я понимаю, этот скрипт — не панацея, а, скорее, некоторые идеи администратору на заметку.
И ещё, почему б не объединить, например,
--dport 137
--dport 138
--dport 139
в
--dport 137:139
Ещё можно объединить 4 фрагмента "# drop all MS stuff so that it won't clutter logs" в один с циклом.
И, наконец, как я понимаю, этот скрипт — не панацея, а, скорее, некоторые идеи администратору на заметку.
> Объясните, зачем в конец некоторых цепочек вставлено "-j RETURN". Это ж вроде действие по умолчанию.
Спасибо, не знал. Просто всегда так писал правила.
> И ещё, почему б не объединить
Да их вообще можно как-то красиво вынести, но не вижу как будет красивее. Поэтому пока оставил копи-пастой, так как у меня там ещё свои правила рядом, которые режут «локальный» флуд, встречающийся только в моей сети.
> И, наконец, как я понимаю, этот скрипт — не панацея, а, скорее, некоторые идеи администратору на заметку.
Конечно. Но в среднестатистической в вакууме локальной сети с 1 подключением к интернету в этом скрипте должно быть достаточно только изменить IP и вписать свои открываемые порты. По крайней мере, я на это ориентировался.
Спасибо, не знал. Просто всегда так писал правила.
> И ещё, почему б не объединить
Да их вообще можно как-то красиво вынести, но не вижу как будет красивее. Поэтому пока оставил копи-пастой, так как у меня там ещё свои правила рядом, которые режут «локальный» флуд, встречающийся только в моей сети.
> И, наконец, как я понимаю, этот скрипт — не панацея, а, скорее, некоторые идеи администратору на заметку.
Конечно. Но в среднестатистической в вакууме локальной сети с 1 подключением к интернету в этом скрипте должно быть достаточно только изменить IP и вписать свои открываемые порты. По крайней мере, я на это ориентировался.
В FreeBSD-CURRENT (9) уже произошло объединение конфигов IPv4 и IPv6 ipfw в один файл. Тенденция.
Сама идея вполне нормальная и удобная, у самого правила iptables генерятся ruby-скриптом;)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Один фаервол для IPv4 и IPv6 (iptables и ip6tables)