>> Я вообще-то не про брут-форс, а про безопасную настройку фаерволла (т.е. чтобы
>> ssh не отвалился). Хотя если уж на то пошло, то перебора
>> паролей это тоже касается :)
> Если накосячить с настройкой фаервола, то и порт-кнокинг не поможет. А если
> фаерволом не закрывать ssh, то порт-кнокинг и не нужен.Ну почему, просто держишь в правилах фаерволла в начале port-knocking, а потом всё остальное и балуйся сколько хочешь :)
>> Честно сказать, я не понимаю про какие усложнения речь. :)
> Неочевидные эти цепочки INPUT,OUTPUT, PREROUTING, POSTROUTING etc отсутствие номеров
> правил по умолчанию и т.п.
Очень даже очевидные, IMHO. Один раз посмотреть на http://upload.wikimedia.org/wikipedia/ru/a/ad/Netfilter-diag... и сразу всё понятно, IMHO
>> Это как тензорные обозначения взамен векторным во многих областях физики. Надо не
>> полениться и один раз въехать, что относительно просто, и потом будет
>> уже проще преобразовывать различные выражения,
> Зачем, если и так все работает? У меня есть другие задачи, на
> которые надо тратить время, чем еще штудировать всякие неочевидные премудрости iptables,
> для которых надо еще и линукс громоздить.
Я ж только что пояснил. Один раз потратить время, ради того чтобы в будущем его тратить ещё меньше, чем предполагалось изначально.
>> Т.е. другими словами, лично мне субъективно кажется, что с iptables проще работать,
>> чем с ipfw при разумно достатоно большом, но одинаковом опыте работы
>> с тем и другим.
> Не согласен.
Имеете право. Я когда-то достаточно долго работал с ipfw, после чего перешёл на pf, продолжая очень не любить и не хотеть изучать iptables из-за его перенаграмождённости. Однако всего лишь раз я когда-то уже не помню когда был вынужден настроить чрезвычайно нетривиальный роутер на linux и сразу со всем освоился и полюбил iptables.
>> И ещё одно... Я считаю, что очень даже окупает, даже если считать
>> данную разность интерфейсов усложнением :)
> Аналогично, не согласен.
>>>>> А какое-то подобие Lookup Tables в iptables есть?
>>>> Ну, во-первых в iptables есть цепочки, которые, к сожелению, я так понял
>>>> вам не очень нравятся. А во-вторых для особых случаев всегда есть
>>>> "ipset" (http://www.opennet.ru/prog/info/2942.shtml).
>>> Костыль же.
>> Что костыль? Использование "ipset"? Это, IMHO, примерно такой же "костыль", как использование
> Ну да. В стандартную поставку той же федоры не входит.
Ну есть дистрибутивы, где и утилита "iptables" не поставляется по умолчанию. Лично я вообще предпочитаю устанавливать систему по минимализму, в потом уже доставлять всё, что мне нужно (iptables, netcat, gcc, make, traceroute, tcpdump и т.п.). Утрируя, просто Спевак и его ребята (или уже не Спевак?) сочли, что на средний десктоп незачем ставить ipset по умолчанию.
И ещё одно, если посмотреть на debian, то та же утилита "iptables" идёт естественно отдельным пакетом:
$ dpkg -l | grep iptables
ii iptables 1.4.8-3 administration tools for packet filtering and NAT
И если теперь прочесть описание для ipset и сравнить с iptables, то лично я не нахожу принципиальной разницы, которая делает использование утилиты "ipset" - костылём, когда как использование утилиты "iptables" - не костыль.
$ dpkg -l | grep ipset
ii ipset 2.5.0-1 administration tool for kernel IP sets
По вашей логике, если вспомнить все существующие дистрибутивы, то использовать linux - это вообще всегда "костыль" ;)
