AK>> После диверта, контроля ipsec'а, антиспуфинга и нескольких интерфейсов с AK>> разными задачами - оно совершенно перестает быть таким простым и логичным. EG> И вовсе он не перестает быть простым и логичным. EG> Hужно просто в большинстве случаев смотреть не в ipfw show, EG> а в исходный код с правилами и в лог рестарта на предмет ошибок и чем он от show в лучшую сторону отличается? В том хоть счетчики есть.
Ошибку синтаксиса я как-нибудь уж замечу сразу.
EG> И то лучше добавить отладочное правило count log и смотреть EG> в /var/log/security. ну, на фоне варианта с wireshark и pflog, я уже не удивляюсь, что ЭТО могут считать хорошим стилем.
EG> Hадо понимать, что ipfw это ассемблер, и читать лучше исходник. а исходник на чем, простите? Пачка неопрятных шелловских скриптов? тогда понятно...
EG> При этом ipfw как ассемблер достаточно мощен и позволяет EG> скриптовать проблемно-ориентированные высокоуровневые обертки. ужаснах. То есть у тебя там целая куча скриптов, генерящих непонятное нечто, что уже невозможно просто посмотреть, и надо разбирать сами скрипты?
Hу так вот разница с нормальным иерархическим файрволом в том, что когда я натыкаюсь на iptables, сгенеренные непонятными мне роботами (их бывает, в основном, разумеется, предназначены для горе-админов умеющих только мышь свою верную кликать) - я не трачу ни секунды времени на их изучение, а просто выключаю робота навсегда - он не нужен там, где у тебя не "ассемблер", а вполне человекочитаемый код. Даже если он изначально сгенерен невменяемым роботом.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)