Minimal firewall for end user

Минимальный firewall для конечного пользователя Исходить будем из того, что хост конечного пользователя, как правило, всегда лишь инициирует сетевые соединения (например, когда в браузере открывается некоторая WEB-страница), но, при этом, такой хост никак не должен обслуживать входящие соединения — то есть, не является ни сервером, ни роутером.

Having issues with scrub proto tcp reassemble tcp?

They might have been caused by tampering with TCP connection in transit. What kind? Well, in fact changing MSS with netfilter’s clamp or OpenVPN maxmss would cause establishing TCP connection to stall. Если при использовании scrub proto tcp reassemble tcp возникают проблемы, они могут быть вызваны манипуляциями с TCP-соединением на транзитной сети. Например, вследствие изменения MSS, которое […]

comment: option can only be used once — WHY?

1 iptables-restore v1.6.0: comment: option “–comment” can only be used once. Вообще говоря, возможно, что для некоторых модулей netfilter, повтор опции действительно может быть нежелательным, но вот повторы именно –comment вполне были бы «в тему»: -A INPUT -j ACCEPT -m comment –comment “MySQL” -p tcp –dport 3306 –comment “from backend:” -s 192.168.10.100 Пример, конечно, слегка надуман, […]

Никогда не пользовался NETMAP

— про который в man’е сказано: This target allows you to statically map a whole network of addresses onto another network of addresses.  It can only be used from rules in the nat table. на самом деле даже интересно стало — а есть ли какое-нибудь отличие от того же DNAT, в случае, если мэпится один-в-один […]