php i iptables, a bezpieczenstwo

[Daniel Mroz]

On Monday 29 October 2007 10:58:00 Bart. wrote:
> Mam takie dziwne rozwiazanie ze dla konkretnego usera w sieci moge ustawic
> powiadomienie www (musi potwierdzic ze odczytal). Na ten czas przekierowuje
> ruch www na pewien port gdzie taka infomracja sie dla niego znajduje. Jak
> na razie rozwiazanie bylo takie ze skrypt php (www) wpisywal regulki do
> pliku, a w cronie co minute sprawdza sie czy jest cos nowego i uruchamial
> te regulki i tyle. Ewentualnie przy uruchamianiu/restartowaniu serwerka
> regulki byly wykonywane jako dodatek do skryptu. Nie jest to chyba
> najbezpieczniejsza metoda  i stad moje pytanie.
> Jak mozna to zrobic ladnie i bezpiecznie ?
Ja bym to zrobił w architekturze klient-serwer. Wystaw na localhost (albo 
jeszcze lepiej - na sockecie) demona udostępniającego po XML-RPC metody 
operacji na iptables (dodawanie odpowiedniej regułki, usuwanie, sprawdzanie 
czy jest). Trzeba to tylko odpowiednio zabezpieczyć (kieś szyfrowanie, SSL po 
certyfikatach itp.), szczególnie jeśli luserzy mogą się legalnie ładować tam 
na shell.
Wady: lekko przerost formy nad treścią i trochę pisania. Zalety: 
bezpieczniejsze niż regułki wykonywane z crona na podstawie pliku, do którego 
ma dostęp PHP (dziuuuuuuuraaaaaa!!!!!), zmiany natychmiastowe, możliwość 
łatwego rozbudowania o dodatkową automatykę.


Pozdrawiam
Beorn

-- 
Daniel 'Beorn' Mróz <beorn w alpha.pl>    http://127.0.0.1/beorn
[GIT d s:- a-@ C++++ UL++++$ P+ L++++ E--- W+ N+++ o? K- w---]
[O- M- V!  PS+ PE++ Y+ PGP++ t- 5  X R !tv b+ DI D++ G++ e h*]
[                          r++  y+                           ]