Последняя версия датирована 2006г. Потерял ли он актуальность? Какие есть другие материалы по netfilter/iptables?
* Читать все попадающиеся под руку скрипты файерволов, пытаться понять, достигнуть понимания и просветления.* ну, есть ещё LARTC
> * Читать все попадающиеся под руку скрипты файерволов, пытаться понять, достигнуть понимания
> и просветления.Пробовал и пришёл к выводу, что это крайне вредно для правильного понимания. Только на наге находил большие и полезные для примера скрипты.
> Пробовал и пришёл к выводу, что это крайне вредно для правильного понимания.Что "это"? Просветление, достижение понимания, попытка понять? "Все попадающиеся" читать??
Извините, я может чего неприличное спрошу, но что такое "правильное понимание" вопроса с точки зрения челокека, не владеющего этим вопросом?...
А-а-а... может быть Вам надо прочитать _одну "самую правильную" книгу и сразу после этого овладеть вопросом? То есть садится и... писать файерволы пачками, понимать как работают чужие наборы правил, или почему они не работают, пробрасывать порты в любых направлениях, настраивать прозрачные прокси и т.д.?? Или какое у нас определение "успеха"?
> Только на наге находил большие и полезные для примера скрипты."Полезные для примера" - это когда кто-то _другой написал к правилам кучу комментариев и обязательно сказал, чего это всё делает в общем?
>[оверквотинг удален]
> Извините, я может чего неприличное спрошу, но что такое "правильное понимание" вопроса
> с точки зрения челокека, не владеющего этим вопросом?...
> А-а-а... может быть Вам надо прочитать _одну "самую правильную" книгу и сразу
> после этого овладеть вопросом? То есть садится и... писать файерволы пачками,
> понимать как работают чужие наборы правил, или почему они не работают,
> пробрасывать порты в любых направлениях, настраивать прозрачные прокси и т.д.?? Или
> какое у нас определение "успеха"?
>> Только на наге находил большие и полезные для примера скрипты.
> "Полезные для примера" - это когда кто-то _другой написал к правилам кучу
> комментариев и обязательно сказал, чего это всё делает в общем?Почти все попадающиеся под руку скрипты написаны людьми, которые сами не понимают, как это работает. Чтобы это понять, мне было достаточно немного разобраться в iptables.
На наге были скрипты на примерах показывающие полноценную настройку netfilter. А не просто nat и пара форвардингов.
>>но что такое "правильное понимание"
>> Или какое у нас определение "успеха"?
>> комментариев и обязательно сказал, чего это всё делает в общем?
>полноценную настройку netfilter.Не, ну сразу бы так и сказал! "Правильное" понимание и "полноценная" настройка... этт только на наге. Может они там и книжки пишут? Я бы почитал!!
> Почти все попадающиеся под руку скрипты написаны людьми, которые сами не понимают,
> как это работает. Чтобы это понять, мне было достаточно немного разобраться в iptables.А чего там разбираться то? Все просто как топор. То что с хоста - OUTPUT. То что на хост - INPUT. То что хост форвардит в какую либо сторону - FORWARD. Ну а кому какие правила для чего нужны - наверное ему виднее.
> Последняя версия датирована 2006г. Потерял ли он актуальность? Какие есть другие материалы
> по netfilter/iptables?Актуальность он не потерял (разве что чуть-чуть). Еще материалы - man iptables и книга linux firewalls.
Мне была важна Kernel Packet Traveling Diagram
http://www.docum.org/docum.org/kptd/ Было полезно распечатать и держать под рукой во время чтения. Её аналог есть в тексте, но глубоко внутри. Мне показалось, что всё остальное имеет больше отношения к знанию сетевых протоколов. Т.е., якобы, знание протоколов определяет лёгкость владения netfilter-iptables - инструментом фильтрации трафика.С 2006 года у iptables появился параметр '-S', что, на мой взгляд, повысило читабельность дампов.
В разных дистрибутивах разные наборы правил устанавливаемых по умолчанию. Рекомендаций по защите и противодействию флуду много разных. Скрипты позволяют иметь быстро применимую собственную заготовку. Ценность чужих скриптов, пожалуй, определяется профессионализмом автора в сумме с его целью - что именно и от чего защищал. Глубину знаний и практики автора оценить трудно.
> Мне была важна Kernel Packet Traveling Diagram...только про ipchains уже пора забыть, а так ничего.