Susefirewall2 (а нужен ли он администратору?)

[Loky]

и потому хочется его правила использовать, но вот как их старвовать не пойму, в Mandrive я в /etc/rc.d/rc.local прописал iptables-restore /etc/sysconfig/iptables и всё отлично стартовало а в suse нет такого файла =)

Можно и в SuSE так же сделать, а файлик, на самом деле, называется /etc/init.d/boot.local


Вот ещё вариант - приложен скрипт, содранный когда-то с ALT-Linux и переделанный для SuSE.
Рецепт простой:
1. положить скрипт в /etc/init.d с именем iptables (без расширения форум не дал файл добавить)
2. insserv iptables

Ну зачем корячить то, что и так работает?

[Wizard]

Ну зачем корячить то, что и так работает?

Ну не нравится мне SuSEfirewall2... Совсем!
Привык, знаете ли, к iptables -A ....

[Loky]

Ну зачем корячить то, что и так работает?

Ну не нравится мне SuSEfirewall2... Совсем!
Привык, знаете ли, к iptables -A ....

И именно поэтому предлагаете выключить токарный станок и делать по старинке напильником?

[Wizard]

Ну зачем корячить то, что и так работает?

Ну не нравится мне SuSEfirewall2... Совсем!
Привык, знаете ли, к iptables -A ....

И именно поэтому предлагаете выключить токарный станок и делать по старинке напильником?

Не совсем поэтому... Точнее - "совсем не"... Дело в том, что с помощью iptables я могу гораздо гибче контролировать firewall. Всё-таки, согласитесь, SuSEfirewall создан для рядовых пользователей, а я, с Вашего позволения, причисляю себя к системным администраторам... И возможностей SuSEfirewall мне мало.

[Loky]

Ну зачем корячить то, что и так работает?

Ну не нравится мне SuSEfirewall2... Совсем!
Привык, знаете ли, к iptables -A ....

И именно поэтому предлагаете выключить токарный станок и делать по старинке напильником?

Не совсем поэтому... Точнее - "совсем не"... Дело в том, что с помощью iptables я могу гораздо гибче контролировать firewall. Всё-таки, согласитесь, SuSEfirewall создан для рядовых пользователей, а я, с Вашего позволения, причисляю себя к системным администраторам... И возможностей SuSEfirewall мне мало.

А Вы уверены что хорошо знаете возможности SuSEfirewall2? Что именно не получилось сделать с его помощью?

[Wizard]

А Вы уверены что хорошо знаете возможности SuSEfirewall2? Что именно не получилось сделать с его помощью?

Вот небольшой фрагмент из моего iptables-save:

*filter
.....
-A INPUT -i ppp0 -j ULOG --ulog-prefix "input" --ulog-cprange 48 --ulog-qthreshold 50
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j LOG
-A INPUT -i ppp0 -p tcp -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A INPUT -i ppp0 -p udp -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i ppp0 -j ULOG --ulog-prefix "forward" --ulog-cprange 48 --ulog-qthreshold 50
......

А ещё использую "-j MARK" для tc... Ну и ещё несколько извращений...

P.S. Кстати, очень расстраивает отсутствие в SuSE модуля PSD (Port Scan Detect) для iptables... Очень, знаете ли, забавно поиздеваться над кульхацкерами исчезая из сети (-j DROP) или заставляя их сканировать себя (-j MIRROR)

[k0da]

Wizard
Вы не правы,SW2 это тотже iptables вот только дает намного больше кнтроля.
Может стоит почитать сначала /usr/share/doc/packages/SuSEfirewall2?
и /etc/sysconfig/scripts/SuSEfirewall2-custom

[Wizard]

Wizard
Вы не правы,SW2 это тотже iptables вот только дает намного больше кнтроля.

Это Вы не правы. Исходя из того, что SuSEfirewall является обёрткой для того же iptables, он по определению не может дать больше контроля.

Может стоит почитать сначала /usr/share/doc/packages/SuSEfirewall2?
и /etc/sysconfig/scripts/SuSEfirewall2-custom

А смысл, если iptables меня удовлетворяет на все 200%?

[k0da]

Wizard
С SF2 это можно сделать намного быстрее, т.к. есть уже некие определенные переменные. Покрайней мере мне с ним удобно работать.
Или вам лень во всем этом разбиратся?

[Wizard]

Wizard
С SF2 это можно сделать намного быстрее, т.к. есть уже некие определенные переменные. Покрайней мере мне с ним удобно работать.
Или вам лень во всем этом разбиратся?

Мне не надо быстрее. Мне надо качественнее, если Вы понимаете о чем я. И вопрос удобства очень спорный. А начсет лени - действительно лень, если я практически наизусть знаю man iptables...

[k0da]

Wizard
SuSEfirewall2 file FILENAME
same as "start" but load alternate config file FILENAME

[Wizard]

Wizard
SuSEfirewall2 file FILENAME
same as "start" but load alternate config file FILENAME

Ну что Вы, господин k0da? "SuSEfirewall2 file FILENAME" вовсе не умеет работать с правилами iptables. Таким образом можно указать только файл конфигурации в формате SuSEfirewall, отличный от /etc/sysconfig/SuSEfirewall2.

[Wizard]

Вопрос же целесообразности каждый решает сам для себя.

Вот тут я с Вами абсолютно согласен! Разве целесообразно, зная man iptables как "Отче наш", учить псевдоязык макроопределений SuSEfirewall?...

[k0da]

Wizard
Вот и договорились

[RBasil]

Вопрос же целесообразности каждый решает сам для себя.

Вот тут я с Вами абсолютно согласен! Разве целесообразно, зная man iptables как "Отче наш", учить псевдоязык макроопределений SuSEfirewall?...

Я думаю что пользоваться напильником (iptables) если есть токарный станок ( SuSEfirewall2) - это не практично. Все необходимые функции SuSEfirewall2 выполняет, ну а если чего-то не хватает (что-нибудь нестандартное) то можно и руками поработать. Если что-то непривычно - не значит что плохо, просто нужно читать документацию, а потом прыгать Да и знания никогда не бывают лишними

[Wizard]

Да и знания никогда не бывают лишними

Вы не поверите, но бывают. Попробуйте, к примеру, применить Ваше знание SuSEfirewall на Slackware или Ubuntu...

[k0da]

Wizard
Извините если я пользуюсь SuSE то я только ей пользуюсь а не скачу с дистрибутива на дистрибутив

[Wizard]

Wizard
Извините если я пользуюсь SuSE то я только ей пользуюсь а не скачу с дистрибутива на дистрибутив

И Вы этим гордитесь? А я горжусь своей "универсальностью"...

[Loky]

Wizard
Извините если я пользуюсь SuSE то я только ей пользуюсь а не скачу с дистрибутива на дистрибутив

И Вы этим гордитесь? А я горжусь своей "универсальностью"...

Я бы не называл умение настраивать только один фаервол - универсальностью. Что Вы будете делать со своими знаниями на, допустим, FreeBSD? Или Novell Netware? Слабо Border Manager настроить с помощью man iptables?

[Wizard]

Wizard
Извините если я пользуюсь SuSE то я только ей пользуюсь а не скачу с дистрибутива на дистрибутив

И Вы этим гордитесь? А я горжусь своей "универсальностью"...

Я бы не называл умение настраивать только один фаервол - универсальностью. Что Вы будете делать со своими знаниями на, допустим, FreeBSD? Или Novell Netware? Слабо Border Manager настроить с помощью man iptables?

Ну во-первых, вы не поверите, но в моём хозяйстве есть и FreeBSD и NetBSD замечательно настроенный по man ipf и ipfw.
А во-вторых, я что враг себе ставить нетварь файрволлом?

Кроме того, не передёргивайте. Вы же не хотите сказать, что SuSEfirewall "универсальнее" iptables относительно к линуксам.

Ну и опять же, сконфигурите мне пожалуйста, FreeBSD и Border Manager Вашим SuSEfirewall...

[Loky]

Ну во-первых, вы не поверите, но в моём хозяйстве есть и FreeBSD и NetBSD замечательно настроенный по man ipf и ipfw.
А во-вторых, я что враг себе ставить нетварь файрволлом?

Кроме того, не передёргивайте. Вы же не хотите сказать, что SuSEfirewall "универсальнее" iptables относительно к линуксам.

Ну и опять же, сконфигурите мне пожалуйста, FreeBSD и Border Manager вашим SuSEfirewall...

Я ни разу не сказал что Susefirewall универсален. И не буду говорить.
Вы утверждали, что являетесь универсалом и Вам не нужны дополнительные знания. Я привел Вам пример необходимости.
Вы сами сказали что вам "лениво" учится настраивать Susefirewall, но между тем удосужились выучить как молитву маны по трем-четырем утилитам настройки, отличающимся от iptables.

Для Вашего сведения, Novell Netware в режиме фаервола и прокси-сервера работает годами прокачивая более 1.5 ТБ в месяц и обрабатывая свыше 4000 запросов в секунду. Поставленные перед ним шлюзы на бсд или линухе (настроенные отнюдь не лаптями) падали в течении часа.

[Wizard]

Я ни разу не сказал что Susefirewall универсален. И не буду говорить.

Вы опять передёргиваете. Вы первый привели в пример FreeBSD и Border Manager в споре iptables vs SuSEfirewall. Они то тут при чём?

Вы утверждали, что являетесь универсалом и Вам не нужны дополнительные знания. Я привел Вам пример необходимости.

Мы же с Вами на форуме про линукс, не правда ли. Именно в контексте линукса я и говорил (см. выше)

Вы сами сказали что вам "лениво" учится настраивать Susefirewall, но между тем удосужились выучить как молитву маны по трем-четырем утилитам настройки, отличающимся от iptables.

Ну и опять же, чем знание SuSEfirewall поможет мне в настройке файрволлов на FreeBSD или Netware?

Для Вашего сведения, Novell Netware в режиме фаервола и прокси-сервера работает годами прокачивая более 1.5 ТБ в месяц и обрабатывая свыше 4000 запросов в секунду. Поставленные перед ним шлюзы на бсд или линухе (настроенные отнюдь не лаптями) падали в течении часа.

А с этим спорить вообще не собираюсь, верю Вам на слово. Я люблю и уважаю нетварь, но ТОЛЬКО как файловый сервер - непревзойденный файловый сервер. Но веб, почта и, тем более, файрволл - это совсем не для неё. Я знаю, что можно и оракла на нетварь взгромоздить, однако же... Можете попытаться меня переубедить, но сразу Вам скажу, что это будет пустой тратой времени. Работаю с нетварью с 1998 года и ни разу не возникло желания навесить на нее какие либо службы, кроме файл/принт серверов. И уж тем более теперь, когда она, к сожалению, уже практически труп...

[RBasil]

Я думал универсальность подразумевает умение специалиста адаптироваться к реальной ситуации и быстро учиться требуемым технологиям, а не упертость в конкретной области знаний и применение этих знаний как панацею для всех решений.
И если есть механизм который позволяет мне легким движением руки решать большинство поставленных передо мной задач, я буду пользоваться этим инструментом. И в свободное от основной работы время, я обязательно буду изучать базовые технологии, никто не знает что потребуется мне завтра (изучение матчасти никто не отменял).

Ну а вобще можно спорить до хрипоты что хорошо, а что плохо. Каждый выбирает тот инструмент, который им больше подходит

[Wizard]

Я думал универсальность подразумевает умение специалиста адаптироваться к реальной ситуации и быстро учиться требуемым технологиям, а не упертость в конкретной области знаний и применение этих знаний как панацею для всех решений.
И если есть механизм который позволяет мне легким движением руки решать большинство поставленных передо мной задач, я буду пользоваться этим инструментом. И в свободное от основной работы время, я обязательно буду изучать базовые технологии, никто не знает что потребуется мне завтра (изучение матчасти никто не отменял).

Ну а вобще можно спорить до хрипоты что хорошо, а что плохо. Каждый выбирает тот инструмент, который им больше подходит

Вы действительно не понимаете? Я говорю об iptables как универсальном инструменте для линукса (GNU/Linux). Или SuSE не линукс (GNU/Linux)? А слакварь? А убунту? Или FreeBSD или Netware это линукс (FreeBSD местами GNU, но никак не линукс)?

[RBasil]

Я думал универсальность подразумевает умение специалиста адаптироваться к реальной ситуации и быстро учиться требуемым технологиям, а не упертость в конкретной области знаний и применение этих знаний как панацею для всех решений.
И если есть механизм который позволяет мне легким движением руки решать большинство поставленных передо мной задач, я буду пользоваться этим инструментом. И в свободное от основной работы время, я обязательно буду изучать базовые технологии, никто не знает что потребуется мне завтра (изучение матчасти никто не отменял).

Ну а вобще можно спорить до хрипоты что хорошо, а что плохо. Каждый выбирает тот инструмент, который им больше подходит

Вы действительно не понимаете? Я говорю об iptables как универсальном инструменте для линукса (GNU/Linux). Или SuSE не линукс (GNU/Linux)? А слакварь? А убунту? Или FreeBSD или Netware это линукс (FreeBSD местами GNU, но никак не линукс)?

Я все прекрасно понимаю. iptables - действительно универсальный инструмент. а SuSEfirewall2 это посути надстройка для iptables которая прощает настройку. И это очень хорошо. Не каждому дано за 5 минут выучить man по iptables и даже за день. Но при опыте настройки firewall на других системах и при наличии знаний это позволяет выполнить в достаточно короткие сроки. Еще я бы упомянул о пользователях, которые перешли с Windows. Им надо работать здесь и сейчас, и если кого-то из них сломают в первые дни работы на Linux - он скажет что Linux дырявая система и отговорка о том что тому было лень почитать man по iptables - не будет оправданием
И если уж говорить о GNU\Linux надо учесть что размещение конфигурационных файлов для дистрибутивов может различаться. (Ubuntu по сути одна из ветвей Debian)

[k0da]

Господа давайте останемся каждый при своем мнении.Какойто тупой флейм получается.

[RBasil]

Господа давайте останемся каждый при своем мнении.Какойто тупой флейм получается.

Поддерживаю

[Wizard]

Я все прекрасно понимаю. iptables - действительно универсальный инструмент. а SuSEfirewall2 это посути надстройка для iptables которая прощает настройку. И это очень хорошо. Не каждому дано за 5 минут выучить man по iptables и даже за день. Но при опыте настройки firewall на других системах и при наличии знаний это позволяет выполнить в достаточно короткие сроки. Еще я бы упомянул о пользователях, которые перешли с Windows. Им надо работать здесь и сейчас, и если кого-то из них сломают в первые дни работы на Linux - он скажет что Linux дырявая система и отговорка о том что тому было лень почитать man по iptables - не будет оправданием
И если уж говорить о GNU\Linux надо учесть что размещение конфигурационных файлов для дистрибутивов может различаться. (Ubuntu по сути одна из ветвей Debian)

Я где-нибудь утверждал обратное? Могу только сослаться на моё же сообщение в этом треде #4

[7biohazard7]

просто автор в теме этого топика написал:"А нужен ли ..."
Зачем было спрашивать если автор изначально считает что он
не нужен?
Я вот например считаю что нужен. Хотя запросто и весело
использую iptables. Он удобный и все. Когда надо какие-то
извращения делать то тут же про man iptables вспоминаю.

Извините за каламбур - "Тема не в тему"

[Aserge]

Господа.. ну что за.. флейм..

Существуют несколько разных подходов к кхм.. администрированию, Вам не кажется, что главное результат, а каким средствами он достигается.. ручной настройкой iptables или мышкой через YaST .. дело вторичное. Причём смею заметить, что "поднять" файервол через текстововую или графическую надстройку (а если ещё и NAT) будет гораздо более "выгодным" решением относительно экономии времени, нежели man iptables. Что ни в коем случае не умоляет Ваших достоинств в скоростном выстукивании на клавиатуре заветных правил и тем более самого пакета iptables.

Как пример, что Вы будете делать, если Вы будете ограничены в движении или интерфейс ввода будет состоять из джойстика и цифровой клавиатуры (не забываем про промышленное применение *nix).

Про Novell согласен и поддерживаю..