forum.opennet.ru

Составление сообщения

Исходное сообщение

"Запрашивает Миша Рыцаревъ"
Отправлено Xaionaro, 30-Сен-10 00:20

>> Ну, я portknocking применяю только для обхода случайного бана. Т.е. когда настраиваю
>> фаерволл удалённо, port-knocking может быть очень полезным и геморроиться с парсингом
>> логов - вообще никакого желания ради такой мелочи :)
> После того, как я перевешал sshd на другой порт, проблема распухания лога
> от перебора паролей перестала меня беспокоить безо всякого фаервола. А если
> пароль 123, то и port-knocking не спасет.
Я вообще-то не про брут-форс, а про безопасную настройку фаерволла (т.е. чтобы ssh не отвалился). Хотя если уж на то пошло, то перебора паролей это тоже касается :)
>> Вы как-то сильно унизили возможности hashlimit и recent. Например то, что продемонстрировал
> Это не окупает усложнения, которое вносит iptables. Слишком редко это нужно. А
> когда нужно можно и с syslog заморочиться.
Честно сказать, я не понимаю про какие усложнения речь. :)
Это как тензорные обозначения взамен векторным во многих областях физики. Надо не полениться и один раз въехать, что относительно просто, и потом будет уже проще преобразовывать различные выражения, чем то было в векторных обозначениях. Например представляете себе кванты в векторных обозначениях? IMHO, кошмар :)
Т.е. другими словами, лично мне субъективно кажется, что с iptables проще работать, чем с ipfw при разумно достатоно большом, но одинаковом опыте работы с тем и другим.
И ещё одно... Я считаю, что очень даже окупает, даже если считать данную разность интерфейсов усложнением :)
>>> А какое-то подобие Lookup Tables в iptables есть?
>> Ну, во-первых в iptables есть цепочки, которые, к сожелению, я так понял
>> вам не очень нравятся. А во-вторых для особых случаев всегда есть
>> "ipset" (https://www.opennet.ru/prog/info/2942.shtml).
> Костыль же.
Что костыль? Использование "ipset"? Это, IMHO, примерно такой же "костыль", как использование утилиты "ipfw" для настройки фаерволла ipfw. Другими словами, я не понимаю в чём костыль. ifconfig для настройки интерфейсов, sysctl для управления переменными системы, iptables для настройки правил фаерволла, ipset для настройки IP set-ов. Не понимаю в чём проблема. Вы так говорите, как будто ipset - это какая-то отдельная утилита, которая никак не касается проекта netfilter (http://netfilter.org/). Вообщем, было бы неплохо, если бы вы пояснили в чём, собственно, "костыль". ;)

Исходное сообщение
"Запрашивает Миша Рыцаревъ" Отправлено Xaionaro, 30-Сен-10 00:20
>> Ну, я portknocking применяю только для обхода случайного бана. Т.е. когда настраиваю >> фаерволл удалённо, port-knocking может быть очень полезным и геморроиться с парсингом >> логов - вообще никакого желания ради такой мелочи :) > После того, как я перевешал sshd на другой порт, проблема распухания лога > от перебора паролей перестала меня беспокоить безо всякого фаервола. А если > пароль 123, то и port-knocking не спасет. Я вообще-то не про брут-форс, а про безопасную настройку фаерволла (т.е. чтобы ssh не отвалился). Хотя если уж на то пошло, то перебора паролей это тоже касается :) >> Вы как-то сильно унизили возможности hashlimit и recent. Например то, что продемонстрировал > Это не окупает усложнения, которое вносит iptables. Слишком редко это нужно. А > когда нужно можно и с syslog заморочиться. Честно сказать, я не понимаю про какие усложнения речь. :) Это как тензорные обозначения взамен векторным во многих областях физики. Надо не полениться и один раз въехать, что относительно просто, и потом будет уже проще преобразовывать различные выражения, чем то было в векторных обозначениях. Например представляете себе кванты в векторных обозначениях? IMHO, кошмар :) Т.е. другими словами, лично мне субъективно кажется, что с iptables проще работать, чем с ipfw при разумно достатоно большом, но одинаковом опыте работы с тем и другим. И ещё одно... Я считаю, что очень даже окупает, даже если считать данную разность интерфейсов усложнением :) >>> А какое-то подобие Lookup Tables в iptables есть? >> Ну, во-первых в iptables есть цепочки, которые, к сожелению, я так понял >> вам не очень нравятся. А во-вторых для особых случаев всегда есть >> "ipset" (https://www.opennet.ru/prog/info/2942.shtml). > Костыль же. Что костыль? Использование "ipset"? Это, IMHO, примерно такой же "костыль", как использование утилиты "ipfw" для настройки фаерволла ipfw. Другими словами, я не понимаю в чём костыль. ifconfig для настройки интерфейсов, sysctl для управления переменными системы, iptables для настройки правил фаерволла, ipset для настройки IP set-ов. Не понимаю в чём проблема. Вы так говорите, как будто ipset - это какая-то отдельная утилита, которая никак не касается проекта netfilter (http://netfilter.org/). Вообщем, было бы неплохо, если бы вы пояснили в чём, собственно, "костыль". ;)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру