>да iptables - это хорошо, но в совем изначальном виде, т.е. его обычные правила - это жесть.Именно. iptables в тепершнем виде - ассемблер фактически. Чтобы выполнить _обычное_ действие (открыть порт, например), нужно написать несколько правил (+отдельно для NAT-ов), не забыть про ip_forward и, бывает, загрузить модули ядра, очень желательно учесть взаимозависимости, не наступить на "особенности" с порядком правил и не очепятаться в множестве длиннющих строк. И неплохо бы, чтоб stateful. И чтоб безопасно -- обязательно. ... %-l
>недавно старый сервер надо было немного поменять (fw скрипт) да полчаса вспоминал что да как. вспомнил!
А выбрал бы и использовал генератор правил -- глядишь, список вспоминаемых правил был бы раз в *цать http:/openforum/vsluhforumID1/81413.html#7 (*) короче. Вспоминалку не так напрягать пришлось бы. Хотя на вкус, на цвет... Многие продолжают пилить iptables/#EXAMPLESCRIPTS, кому-то и "чистый" iptables |) _нравится_.
Поэтому обёрток и генераторов правил -- вагон с тележкой. И у каждого - свои ограничения...
Например, на что уж мне нравится firehol, но в его входном языке не учтена связь между nat-ами и соответствующими фильтрами -- приходится (~всё равно) два набора правил писать... И да, сам мучительно вспоминаю, чего нагородил http:/openforum/vsluhforumID1/82424.html#3 на firehol с кучей разных групп ip с разными nat-ами с фильтрами...
Совершенства нет. Поэтому и появляются новые обёртки-генераторы.
Вот, глядишь, выйдет nftables http:/openforum/vsluhforumID3/50862.html -- будет одна обёртка для всех. Пока и её :) не начнут обёртывать.
(*) При этом _читать_ iptables-save и понимать, как оно там устроено внутри -- тоже неплохо, если не обязательно, - для полной уверненности.