On Sat, Jun 07, 2008 at 08:55:50PM +0400, Oleg Frolkov wrote: > Да во многих случаях удобнее. Я честно говоря не совсем понял про: > > iptables -A FORWARD -i int -j fw:int > > т.е у Вас интерфейсы переименованы?
Да, мне так удобно. > Я честно говоря подобным не пользуюсь... и точно > не знаю можно-ли переименовать vlanы. Vlan'ы именуются запросто, даже префикс базового интерфейса не просят. Есть ли там какие-то грабли -- не знаю, сам поименованные таким образом интерфейсы не использовал, но скорее всего грабель нет. > В принципе там все так-же как и в iptables но есть возможность задавать > переменные как по > отдельности так и списком, например есть несколько списков внутренних > хостов с разным доступом. В iptables я так делаю. На практике мне хватает разрешительных правил, а это довольно просто. Например, разрешаем группе системных сисадминов с фиксированными ip-шниками доступ из внутренней сети в dmz: iptables -A fw:ssh -i int -o dmz -j a:admins iptables -A fw:rdp -i int -o dmz -j a:admins iptables -A a:admins -s <admin1-host> -j ACCEPT iptables -A a:admins -s <admin2-host> -j ACCEPT ... > Когда надо добавить еще что-то для доступа через год-другой, не вспоминаем > мучительно логику работы > файрволла на данном сервере а тупо добавляем еще один адрес в список и он > добавится везде где фигурирует этот список. Ага. iptables -A a:admins -s <new-admin-host> -j ACCEPT fw save -- Eugene Berdnikov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
