"Дороже" - для того, кто поддерживает. А уж как и за сколько эта
поддержка продается клиенту - вопрос другой.
"Только чтобы было" - разные операционные системы на клиентские сервера
никто не ставит. Поддержка гетерогенной среды дороже в разы, а то и на порядок.
spiral00, нормальные конторы (да и частники ;)) работают на жеских условиях
по уровню сервиса (SLA). Такое-то время реакции на событие в мониторинге,
столько-то событий в месяц обрабатывается бесплатно в рамках контракта.
В конторах единственный плюс - если одного админа трамвай
переедет - есть еще несколько :D.
+1, см. #7
madoff, диапазон 1024:65535 - это не служебные порты, а клиентские порты. Без этого stateless версия
файрвола ТС, конечно, не будет работать. Первые правила заменит вариант Zagwir,
если использовать -m state.
NB: "syn" в примере разрешен только на порты 80,81.
Я уже объяснил что нужно сделать (udp не фильтруется для примера):
iptables -F INPUTiptables -F OUTPUTiptables -F FORWARDiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -A INPUT -p udp -j ACCEPTiptables -A INPUT -p tcp ! --syn -m multiport --dports 1024:65535 -j ACCEPTiptables -A INPUT -p tcp -m multiport ! --dports 80,81 -j DROP
madoff, отрицание там применяется именно к списку портов. В man iptables это написано.
ТС, добавьте еще диапазон --dports 1024:65535 помимо 80,81 в правило. Нужно ACCEPT
такие соединения с проверкой ! --syn отдельно _до_ Вашего правила. С добавлением правила
для DNS (с 53 порта на диапазон >= 1024) - все будет у вас работать. Но стоит переделать
на нормальный вариант с -m state, как советовали Выше.
Ну дак маловато правил. А UDP как к вам придет (с 53 на клиентский порт)? Никому на тазике DNS не интересен? :D
Stateless файервол сложнее в обращении. _Зачем_ оно Вам?
Фильтруйте по --state NEW на нужные порты (как минимум 80, а c интерфейса lo
можно весь трафик к себе пускать),
а затем --state ESTABLISHED,RELATED -j ACCEPT
все остальное - DROP.
См. также:
http://www.opennet.ru/docs/RUS/iptables/
madoff, символ "!" означает отрицание аргумента
опции --dports. Т.е. _НЕ_ указанные далее порты.
zexis, коннекешены локально на апач пойдут с 127.0.0.1, нет? :)
bm_5, iptables -vnL в студию.
djos, никто и не спорит :) Просто, думал Вам полезно знать - какие с таким "удалением"
могут быть грабли (rm * - лишь один плохой пример). Но если таки хотите
сами наступить - кто ж Вам запретит.
DEM333, у вас каша в голове какая-то. Неужели сложно
почитать хоть статьи в википедии по subj (DNS, DNS records).
Все что Вам нужно - разместить нужные Вам доменные зоны на
Вашем DNS-сервере (bind9, как я понимаю). Примеры доменных зон
есть в приведенных выше ссылках. Дальше указываете у регистратора
при делегировании домена созданные в его зоне NS-записи. Все.
зависит от системы, например, в старых линуксах ARG_MAX ограничивает
размер переменных окружения + списка аргументов. 131072 байтов.
После 2.6.22 - четверть раздела стека (можно посмотреть/поставить ulimit).
Сколько занимает список имен 1k или 10k файлов сессий - можете
прикинуть самостоятельно.
PS:
"удалять" ничего rm, естественно, не будет, пока shell ему не сформирует
строку запуска с этим самым 5k или 10k файлов.
