gribozavr 2 фев 2010 в 18:24

Один фаервол для IPv4 и IPv6 (iptables и ip6tables)

16 мин

14K

Настройка Linux*Системное администрирование*IPv6*

Комментарии 8

Rewerson 2 фев 2010 в 19:46

Хозяин — барин, конечно. Но стоит ли дублировать текстовик по ссылке? Тем более в целевом дебиане или убунте браузер всё равно txt скорее всего откроет во вкладке рядом для просмотра, а не сохранит. :)

gribozavr 2 фев 2010 в 19:54

Не мне конечно объяснять, но клик правой кнопкой -> Сохранить как. Из топика копировать не удобно, а отдельный текстовый файл можно легко сохранить.

Rewerson 2 фев 2010 в 20:01

Всё верно, только я как раз и имел в виду, что полотенце в топике — не верх эргономичности, при наличии удобного источника сразу после него. ;)

Power 2 фев 2010 в 21:31

Объясните, зачем в конец некоторых цепочек вставлено "-j RETURN". Это ж вроде действие по умолчанию.
И ещё, почему б не объединить, например,

--dport 137

--dport 138

--dport 139

в
--dport 137:139

Ещё можно объединить 4 фрагмента "# drop all MS stuff so that it won't clutter logs" в один с циклом.

И, наконец, как я понимаю, этот скрипт — не панацея, а, скорее, некоторые идеи администратору на заметку.

gribozavr 2 фев 2010 в 21:44

> Объясните, зачем в конец некоторых цепочек вставлено "-j RETURN". Это ж вроде действие по умолчанию.

Спасибо, не знал. Просто всегда так писал правила.

> И ещё, почему б не объединить

Да их вообще можно как-то красиво вынести, но не вижу как будет красивее. Поэтому пока оставил копи-пастой, так как у меня там ещё свои правила рядом, которые режут «локальный» флуд, встречающийся только в моей сети.

> И, наконец, как я понимаю, этот скрипт — не панацея, а, скорее, некоторые идеи администратору на заметку.

Конечно. Но в среднестатистической в вакууме локальной сети с 1 подключением к интернету в этом скрипте должно быть достаточно только изменить IP и вписать свои открываемые порты. По крайней мере, я на это ориентировался.