forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск пакетного фильтра nftables 0.9.5"
Отправлено Andrew, 08-Июн-20 10:32

К сожалению, раскидать правила тем же Ansible не равно убедиться в том, что правила совпадают: к сожалению (для тех, кто хочет контролировать этот момент) и счастью (тех, кто рад тому, что сторонний софт делает часть "грязной" работы) некоторые программные продукты могут самостоятельно модифицировать правила фаервола.
Наглядный пример такого софта: Docker, который не первый год благополучно доставляет этим неудобство тем, кто хочет быть уверен в том, что в мир открыты только ожидаемые порты...и столь же благополучно помогает выставлять в мир что попало тем, кто просто хочет увидеть результат работы своего кода в действии.
Пример выше может и не самый удачный, зато наглядный.
Ну, а ещё, будем реалистами: кроме софта, возможность управлять правилами, как правило есть ещё у операторов которые далеко не всегда горят желанием отразить сделанные на лету изменения хотя бы в локальной версии конфига, не то, что где-нибудь ещё (в коде того же Ansible).
Иначе говоря, проверять правила фаервола на соответствие ожидаемому состоянию - правильно, тем более в кластерах и, тем более, если на этих правилах многое держится.

Исходное сообщение
"Выпуск пакетного фильтра nftables 0.9.5" Отправлено Andrew, 08-Июн-20 10:32
К сожалению, раскидать правила тем же Ansible не равно убедиться в том, что правила совпадают: к сожалению (для тех, кто хочет контролировать этот момент) и счастью (тех, кто рад тому, что сторонний софт делает часть "грязной" работы) некоторые программные продукты могут самостоятельно модифицировать правила фаервола. Наглядный пример такого софта: Docker, который не первый год благополучно доставляет этим неудобство тем, кто хочет быть уверен в том, что в мир открыты только ожидаемые порты...и столь же благополучно помогает выставлять в мир что попало тем, кто просто хочет увидеть результат работы своего кода в действии. Пример выше может и не самый удачный, зато наглядный. Ну, а ещё, будем реалистами: кроме софта, возможность управлять правилами, как правило есть ещё у операторов которые далеко не всегда горят желанием отразить сделанные на лету изменения хотя бы в локальной версии конфига, не то, что где-нибудь ещё (в коде того же Ansible). Иначе говоря, проверять правила фаервола на соответствие ожидаемому состоянию - правильно, тем более в кластерах и, тем более, если на этих правилах многое держится.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру