>> Ну, я portknocking применяю только для обхода случайного бана. Т.е. когда настраиваю
>> фаерволл удалённо, port-knocking может быть очень полезным и геморроиться с парсингом
>> логов - вообще никакого желания ради такой мелочи :)
> После того, как я перевешал sshd на другой порт, проблема распухания лога
> от перебора паролей перестала меня беспокоить безо всякого фаервола. А если
> пароль 123, то и port-knocking не спасет.Я вообще-то не про брут-форс, а про безопасную настройку фаерволла (т.е. чтобы ssh не отвалился). Хотя если уж на то пошло, то перебора паролей это тоже касается :)
>> Вы как-то сильно унизили возможности hashlimit и recent. Например то, что продемонстрировал
> Это не окупает усложнения, которое вносит iptables. Слишком редко это нужно. А
> когда нужно можно и с syslog заморочиться.
Честно сказать, я не понимаю про какие усложнения речь. :)
Это как тензорные обозначения взамен векторным во многих областях физики. Надо не полениться и один раз въехать, что относительно просто, и потом будет уже проще преобразовывать различные выражения, чем то было в векторных обозначениях. Например представляете себе кванты в векторных обозначениях? IMHO, кошмар :)
Т.е. другими словами, лично мне субъективно кажется, что с iptables проще работать, чем с ipfw при разумно достатоно большом, но одинаковом опыте работы с тем и другим.
И ещё одно... Я считаю, что очень даже окупает, даже если считать данную разность интерфейсов усложнением :)
>>> А какое-то подобие Lookup Tables в iptables есть?
>> Ну, во-первых в iptables есть цепочки, которые, к сожелению, я так понял
>> вам не очень нравятся. А во-вторых для особых случаев всегда есть
>> "ipset" (https://www.opennet.ru/prog/info/2942.shtml).
> Костыль же.
Что костыль? Использование "ipset"? Это, IMHO, примерно такой же "костыль", как использование утилиты "ipfw" для настройки фаерволла ipfw. Другими словами, я не понимаю в чём костыль. ifconfig для настройки интерфейсов, sysctl для управления переменными системы, iptables для настройки правил фаерволла, ipset для настройки IP set-ов. Не понимаю в чём проблема. Вы так говорите, как будто ipset - это какая-то отдельная утилита, которая никак не касается проекта netfilter (http://netfilter.org/). Вообщем, было бы неплохо, если бы вы пояснили в чём, собственно, "костыль". ;)