Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 20
А зачем в 2025 году iptables, если есть nftables?
Прекрасно, спасибо за пост!
Для продвинутых можно продолжить, углубляясь в применение REJECT и DROP.
Спасибо! Тема действительно глубокая.
В моей конфигурации:
REJECT- для адекватных коллег. Я возвращаю имRST-пакет, чтобы не держать соединение открытым и не тратить их время на ожидание. Это честно и сохраняет отношения.DROP- крайняя мера для токсичного трафика и спама (нытье, манипуляции). Там я просто не отправляю подтверждение получения (ACK). Пусть висят вSYN_SENT, пока не отвалятся по таймауту :)
я годами жил с архитектурой Default Allow.
В InfoSec это считается дичью.
смотря где.
по дефолту все DNS запросы для внутренних клиентов (привет адептам zero trust) разрешены, и рекурсивные запросы тоже.
по дефолту на проксях все сайты для внутренних клиентов обычно разрешены, если не внедрять белый список, как это сейчас делает РКН.
Представьте админа, который
пересадил на 127.0.0.1 все сервисы, которым не нужен доступ из Интернета,
и зафиксировал их набор.
открыл все порты, отключил фаервол и пускает любой пакет,
при условии см выше это допустимо и даже местами полезно.
любой фаерволл снижает призводительность сети и увеличивает задержку.
Ну 127.0.0.1 это в данном случае уже где-то внутри черепной коробки. Там уже и сеть другая, и фаерволы местами времён первобытных ящеров...
Согласен! Если пересадить всех токсичных коллег на 127.0.0.1 (пусть варятся в собственном соку) и закрыть доступ извне - это было бы идеально :)
Но, к сожалению, мы вынуждены торчать наружу публичными интерфейсами. И если там не настроен iptables, то любой сканер портов быстро найдет уязвимость и пролезет внутрь.
"Нет" говорить конечно нужно. Порою даже необходимо. Но вот прикидываться машиной - это такая монетка с двумя сторонами. Как правило людям нравится, когда к ним относятся как к людям. А сервер - его же можно просто выключить или заменить.
Очень верное замечание. Но тут парадокс: когда я пытался быть „человечным“ со всеми 24/7, к вечеру я ненавидел людей. Мой человеческий ресурс выгорал полностью.
Режим „Сервера“ (четкие протоколы) я включаю на внешнем периметре (для коллег, заказчиков), чтобы сохранить живую эмпатию для ближнего круга (семьи, друзей).
По мне так лучше быть надежным сервером на работе и живым человеком дома, чем „удобным“, но выгоревшим зомби везде.
415 Unsupported Media Type. Я не слушаю войсы. Пиши текстом.
Что мешает добавить бот, переводящий в текст?
Кому надо - тот и включает.
Технически - ничего не мешает. Но архитектурно это bad practice. Когда человек шлет войс по рабочему вопросу, он перекладывает нагрузку (структурирование мысли) со своего процессора на мой. Мой стандарт текст. Не потому, что я не могу послушать, а потому что текст = структура. Если мысли нельзя уложить в текст, значит, задача еще не готова к деплою.
Я тоже так считаю: если собеседник не считает возможным выделить время на формулирование вопроса, то зачем я буду тратить на него время?
Из практики: чаще всего такие сообщения и не несут никакой смысловой нагрузки. Поэтому в принципе не слушаю голосовые сообщения. Если уж так нужно - позвони голосом и обсудим.
Как только слышу iptables, вспоминаю эту статью.
А генерить ответы на комменты через ChatGPT - это какое правило в iptables? :-)
Во время отпуска предпочитаю на весь входящий трафик отвечать
418 I'm a teapot
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
iptables для людей: Как я перестал быть «удобным» сервером и накатил Human Firewall