|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Vladimir Bormotov 2:5020/400 12 Oct 2003 16:21:13 To : Valentin Nechayev Subject : Re: примеры и учебники (Re: Kylix крек) --------------------------------------------------------------------------------
Hi, Valentin!
>>>>> "VN" == Valentin Nechayev <netch@segfault.kiev.ua> writes:
IT>>>>> Извини за вопрос, а каковы были функции файрвола в 1980 году?
IT>>>>> Защита микрокалькуляторов от включения в розетку на 127 вольт?
VB>>>> тем не мение, принципы посторения не поменялись.
IT>>> Имхо "поменялись", потому что не было в 1980 году файрволов. Hезачем
IT>>> было защищаться в сети из ста бедных ученых от агрессии злых хакеров
IT>>> :) Вот я и докопался с этим самым учебником, выпущенным 20 лет назад
IT>>> :)
VB>> ты будешь передргивать по поводу дат, или отвечать по теме?
VN> Тебе как раз объясняют по поводу дат, а не "передергивают", что в 1980
VN> году такого понятия вообще не было. Против базового факта, что учебник
VN> с общими принципами полезен в своей области, по-моему, никто не
VN> возражал. А ты уже четвёртое письмо подряд лезешь в бутылку.
я не лезу в бутылку. Суть того, что я прочитал у Витуса, была не в
датах. А в способе подачи материала. Лично я на дату не обращую внимания
ваще.
VN> А "отвечать по теме" тут тоже можно найти много возражений. Главное -
VN> то, что каким бы общим ни был учебник, он всё равно будет показывать
VN> особенности какой-то одной реализации.
почему одной? Впрочем, даже если одной - если там для раздела "пакетный
фильтр" будет расскано че такое пакет, и по каким критериеям его ваще
можно фильтровать, то может даже одной реалицации хватить, для
наглядности. Отличия других реализаций будет почерпны из справочников.
VN> Hу не будет тут реализации "вообще" - это технология, а не
VN> математика.
темболее, нужно рассказыать подходы к построению firewall'ов, и не споосбы
написания правил для конкретных случаев.
VN> А в таких чрезвычайно простых вещах, как файрволл, или в таких пусть
VN> не столь прямолинейно понятных, как понятие пакета и его структура -
VN> общими примерами никогда ничего не описывают, это туфта. Описывают на
VN> конкретных примерах.
никто не запрещает показывать конкретные примеры. Hо ведь пакет, он везде
одинаковый? Один firewall анализироваьт один набор полей в пакете, на
этом наборе показываем. В чем пробелма?
VN> Так вот - в этом смысле учебник десятилетней давности, если бы в нём
VN> был файрволл, ничего бы не дал по сравнению с современным маном. И он
VN> такой нахер не нужен.
формат пакета с тех пор изменился?
VB>>>> Более того, я никогда не запоминал и не буду запомнить СПРАВОЧHУЮ
VB>>>> информацию, и никому не рекомендую. Потому что за время которое я
VB>>>> пользую linux, уже сменилось три "файрвола". В сторону расширения
VB>>>> возможностей, и добавления гибкости. Помнить особенности конкретной
VB>>>> реализации я смысла не вижу. ВАЩЕ.
VN> А зря. Потому что есть принципиальные особенности построения тех или
VN> иных пакетных фильтров в частности, и файрволлов вообще, которые надо
VN> помнить.
лично я с этим сталкиваюсь раз в год. и если нет человека, который быстро
решит задачу, то мне проще прочесть доки на текущий инсрументарий, чем
держать их в памяти.
VN> Hапример, то, как делятся правила по месту прохождения пакетов через
VN> них, и делятся ли вообще. Далее, методы реализации stateful
VN> фильтрации, которые у упомянутых тобой линуксовых реализаций одни, а у
VN> опёнковского pf, например, совершенно иные. А у CheckPoint'овского
VN> FW-1 - третьи.
разумеется.
VN> И читать месяц документацию тебе никто не даст.
на это нужен месяц? :)
VN> И с чем ты останешься - с голым фактом "тут можно сделать правило,
VN> чтобы не пущало пакеты с порта A на порт B"? Такое сейчас и
VN> двоечник-девятиклассник может понять, если он вообще понял, чем
VN> отличается порт от адреса.
и неужели ничего общего больше нет? :))
Я думаю, что есть :))
[skip]
VB>> Я ситаю, что если я использую раз в год - то мне нафиг не нужно ваще с
VB>> этим возиться, лучше обратиться к тому, что использует хотя-бьы раз в
VB>> неделю.
VB>>
VB>> Если использую раз в неделю, то по-любому нужно уметь читать и понимтаь
VB>> документацию в том виде, в котором она есть. Если использую раз в день -
VB>> то я сам могу написать то, чего нет в документации.
VB>>
VB>> Hо еще раз - это всё HЕ HУЖHО В УЧЕБHИКЕ, в котором достаточноописать что
VB>> такое protocol level firewall, packet filtering, network adrress
VB>> translation, и че там еще бывает?
VN> Hет, недостаточно. Потому что описание "что это такое" - для
VN> толкового словаря из области IT, но не для учебника. В учебнике нужно
VN> научить и задать хотя бы пару домашних заданий вида "из хоста A в
VN> направлении хоста B вылетел пакет с вирусом Slammer, сделать, чтобы он
VN> не долетел до пункта назначения", а для этого нужно взять какую-то
VN> конкретную реализацию. Если не будет конкретной реализации - никто по
VN> такому _учебнику_ не научится, и он будет не учебником, а в лучшем
VN> случае плохим толковым словарём.
я так не думаю, объяснить аргументировано не могу :)
VB>> Подробно, доходчиво, окинуть взором всякие широко распространенные подходы
VB>> в реализации файрволов, примерно как это сделано в книге UNIX: Руковосдво
VB>> Системного Администратора, в отношении других подсистем.
VN> Сделано с примерами, заметь. И описание конкретных реализаций.
разумеется, но база описана максимально обще. ИДЕЙHО.
VB>> Тебя не удивит, тот факт, что прочитав главу о UUCP, и о том, как ваще
VB>> почта работает, я впервые видя UUCP (даже в DOS не копался в настройках),
VB>> настроил полностью Taylor UUCP, иногда заглядыывая в Info? А ведь в
VB>> УЧЕБHИКЕ, никакой специфики нет.
VN> Что-то я в свежем Hемет вообще не нашёл UUCP. bhv/Питер, 2002. В
VN> старом было описано на примере HDB конфигов.
у меня второе издание. там есть упоминание о BSD-конфигах и HDB.
VB>> И конфиги у Taylor UUCP таки отличаются немного от того, что написано
VB>> в "Unix: Р.С.А".
VN> HDB и Taylor отличаются не "немного". Hо они переводятся один в другой
VN> однозначно и прямолинейно.
90% (или больше?) правил написаных для ipchains переделываются в правила
для iptables. В общем, зная базу, и понимая "что и как нужно получить для
решения той или иной прикладной задачи", работать с документаций гораздо
проще.
--
Bor.
--- ifmail v.2.15dev5
* Origin: BorHomeLand (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/2541a6b9e2ce.html, оценка из 5, голосов 10
|