Pull to refresh

Comments 49

Вы Правида Дорожного Движения изучать будете так же как и iptables — методом тыка?
А что минусуете? Вот как это бы выглядело:

Автопилот для езды.

Автопилот отлично работает, пользоваться им очень удобно, указал место назначения и можно откинуться в кресле и заниматься своими делами…

Тем кто не пытался сам управлять автомобилем опишу как это происходит. Надо его завести!!! А как? Говорят ключ повернуть… Я вертел его и так и эдак. А оказалось его надо в руль вставить. Но это ещё не всё, завёлся — надо тронуться. Я чуть умом не тронулся пока случайно рычаг к буковке D не подвинул. А дальше вообще АД. Оказывается светофоры указывают что мне далеть — ехать или останавливаться. А для поворота надо включать поворотники. Когда в меня чуть не врезались — мне это объяснили на странном языке…
Супер мануал для блондинок! :)
>Я чуть умом не тронулся пока случайно рычаг к буковке D не подвинул.
Забыли тормоз нажать — на АТ коробках без этого обычно никак ))
Точно, причём автомобиль мне об этом ничего не скажет!!! Придётся в инструкцию лезть.
Скажет, громким-громким противным хрустом (если забудете тормоз нажать) :)
Чесно говоря не помню что слышал хруст, просто рычаг не двигался и всё. Может от модели зависит.
Я имею ввиду, если нажать с силой и сломать блокиратор :) А на некоторых машинах (не помню какие именно, но такие точно есть) настолько глупая коробка что позволяет переключение передач без нажатия тормоза, что само по себе может привести к поломке по незнанию (например, во время движения включить передачу R)
Ээээ, тут зависит от машины, коробки, ну и везения, конечно :)
Товарищ однажды ехал на старой квадратной Делике-автомате, хотел включить нейтралку, чтобы насладиться тишиной. Но нечаянно включил не нейтралку, а заднюю. Насладился визгом резины и экстренным торможением, пока успел сообразить, что же на самом деле происходит. Машинка спокойно перенесла это недоразумение, и ездит дальше по сей день.
Ну так там экзаменатор есть, а тут починил в одном месте — поломал в другом, узнал об этом на следующий день.
Что-то типа:
«У ПРИЯТЕЛЯ ДАМОЧКА ПЕРЕГРЕЛА МОТОР БЭХИ, РАСКАЗЫВАЕТ: ЕХАЛА Я ЕХАЛА, ЗАЧЕПИЛАСЬ ЗА ЛЮК, ЗАГОРЕЛСЯ ЧАЙНИЧЕК НА ПАНЕЛЬКЕ, Я НА ЗАПРАВКУ, ПОЛНЫЙ БАК НАЛИЛА, А ЧАЙНИЧЕК ВСЁ ГОРИТ. ВИДАТЬ СЛОМАЛОСЬ ЧЁТА. А ПОТОМ СТОП МАШИНА И ДЫМ ПОШЁЛ.»
Ситуация типа такой?
«У ПРИЯТЕЛЯ ДАМОЧКА ПЕРЕГРЕЛА МОТОР БЭХИ, РАСКАЗЫВАЕТ: ЕХАЛА Я ЕХАЛА, ЗАЧЕПИЛАСЬ ЗА ЛЮК, ЗАГОРЕЛСЯ ЧАЙНИЧЕК НА ПАНЕЛЬКЕ, Я НА ЗАПРАВКУ, ПОЛНЫЙ БАК НАЛИЛА, А ЧАЙНИЧЕК ВСЁ ГОРИТ. ВИДАТЬ СЛОМАЛОСЬ ЧЁТА. А ПОТОМ СТОП МАШИНА И ДЫМ ПОШЁЛ.»
1. А как насчет логирования пакетов? Или совместное использование с ubuntu FireWall ( ufw ).
2. IptAdmin работает от рутового пользователя? — вопрос о безопасности.
3. Обычно часто нужно использовать iptables на шлюзах (роутерах или серверах), но для этих целей существуют специальные дистрибутивы с настройкой файервола и проброса портов и всего остального добра, а для обычной серверной машины с каким то набором функционала надо, как правило, один раз настроить и больше туда не лазить и быстрее всего это сделать ручками, нежели устанавливать дополнительное ПО.
1. Отображать counters конечно надо бы, сделаем. Логирование через -j LOG посложнее.
2. Об этом написано в посте, будем думать.
3. На специальные дистрибутивы сложно устанавливать дополнительное ПО. Например, торрент-клиент. Бывают ещё десктопы с внешним адресом, там тоже нужно настраивать файрволл.
Про GUFW тоже было упомянуто.
Вы сами себе противоречите — предлагаете использовать «специальные дистрибутивы» а потом «быстрее всего это сделать ручками, нежели устанавливать дополнительное ПО»
Читайте внимательней это про разные задачи сервера!
Нажал минус исключительно за бессодержательную картинку в полэкрана.
Кто-то отрезал атрибуты height и weight. Спасибо за коммент.
За что было так издеваться над изображением Тукса?
Вообще то это он издевается над нами.
А зачем висеть сервису с правами рута? Может следует сделать кроновский скрипт, который будет каждую минуту запускаться и проверять, нет ли для него инструкций по работе с iptables. Если таковые имеются, то инструкции парсятся и дают некоторый результат, который записывается далее в конфигурационный файл.

Сам бы веб-интерфейс крутился под пользователем «www» каким-нибудь. Или я туплю?
Всё правильно. Как-то так и будет.

Сейчас этому мешает механизм защиты от запрещения доступа к интерфейсу.

После каких-либо правок (запрос POST на сервер) сразу же производятся манипуляции с файрволлом. После этого клиенту отдаётся код 303 с редиректом на страницу отображения правила. Если в течении 10 секунд клиент не зашёл туда, то считаем добавленное правило запрещающим работу с интерфейсом, откатываем изменение.
Насторожила строка «Это пост о программе Iptables и о веб-интерфейсе для неё». Решил дочитать.
Похожие программы есть. Но подробного сравнительного анализа не проводилось.
Интересно, а о чем тогда статья? Краткое описание iptadmin'а? Ну а «Послесловие для тех, кому посчастливилось не знать, что такое iptables» и вовсе непонятно что такое и кому адресовано.
Что хотел описать автор? Введение в iptables — отсутствует, хоть какое-то мало-мальски понятное описание работы с iptadmin тоже.
Простите, но не понял назначения вашей статьи.
Краткое описание iptadmin'а.

Да.

Вся остальная информация есть по ссылкам.
Вся остальная информация есть по ссылкам.

Вопросы и критика то приветствуются, с удовольствием подскажу если что-то непонятно.
«Послесловие для тех, кому посчастливилось не знать, что такое iptables» — задумывалось всё таки как введение в iptables, ключевые слова.
Мне кажется, что введение в iptables должно выглядеть как-то так: http://easylinux.ru/node/190
У вас же больше похоже на изучение методом тыка, как правильно заметил товарищ 4dmonster
1. Отличное введение, наверное, эта ссылка может помочь в освоении iptables.
2. Это не изучение, это выполнение повседневных административных задач в пятницу вечером.

Я совершенно не отрицаю что при должной тренировке даже сложные правила пишутся с первого раза. Но часто бывает опечатка в одной-двух опциях или пропуск опции. Суть в том, что интерфейс к netfilter оставляет желать лучшего.
А чем не устраивают приведенные более функциональные аналоги? Да и ИМХО лучше один раз разобраться с IPTables, чтобы научиться раз и навсегда писать правила вручную. Это будет лучше велосипеда.
Не хочу оправдывать веб морду к iptables, но cинтаксис iptables довольно быстро забывается. Тот же ipfw в этом плане куда более удобный.
А у вас нету «стандартного шаблона» который вы носите с места на место, и дополняете специфическими правилами? ;)
Надо было оставить название статьи, трольфэйсного тукса, остальное все убрать и поместить в юмор.
Еще одна поделка ленивых быдлоадминов для неопытных ленивых быдлоадминов.
Было бы еще хорошо, например, демо на сайте поставить, и чтобы можно было загрузить свой иптэйблс и поковырять его.
Интересная идея.

Планируется сделать специальный билд с бэкэндом в текстовом файле (запись конфигурации файрволла только в текстовый файл). Чтобы можно было не трогая систему посмотреть на программу. Такой билд можно было бы запускать на других ОС, но особой пользы от него не будет.
У меня на модеме такой. Чем хвастаетесь?
Очень красиво!

Подскажите, где почитать о том, как настроить ваш плагин «Firewall»? Установил на ubuntu 10.10 из репозитория, показывает пустые таблицы filter, mangle, nat.
Нажмите кнопку «Load current», чтобы загрузить в плагин текущую конфигурацию iptables.
Пробовал, ничего не происходит.
Разобрался. После рестарта всё заработало.
Спасибо за помощь в настройке, плагин работает.

В дизайне с вами и впрямь тягаться сложно.

Но, ваш плагин:
— При попытке создания пользовательской цепочки INPUT удаляет все правила из цепочки INPUT.
— При попытке создания пользовательской цепочки LOG пользовательская цепочка LOG создаётся (!) и начинает конфликтовать с таргетом LOG.
— При попытке задания Source MAC address в цепочке «OUTPUT» возникает ошибка «iptables-restore: line 8 failed»
— При попытке создания в цепочке «PREROUTING» правила «MASQUERADE»: «iptables-restore: line 22 failed»
— При попытке задания Source port для протокола ICMP: iptables-restore v1.4.4: multiport only works with TCP, UDP, UDPLITE, SCTP and DCCP Error occured at line: 8 Try 'iptables-restore -h" or 'iptables-restore --help' for more information.
— При попытке создания правила -I INPUT -p tcp --dport 8000 -j DROP интерфейс безвозвратно пропадает вместе с доступом к настраиваемой системе.

Обработкой всех этих и многих других ситуаций и занимается Iptadmin. Несмотря на отсутствие дизайна и клиентского исполняемого кода.

Но у вас действительно плагин намного более удобен чем в webmin.
Имхо все равно, знание консоли не заменят картинки. Все таки как не крути, но *nix системы максимально гибко можно сконфигурировать лишь в старом добром терминале
По моему фаервол одна из тех вещей которой через веб интерфейс менее удобно управлять чем через cli.
Sign up to leave a comment.

Articles