SCCM будет всегда отображать все рекламные объявления для набора (наборов), которому присвоена машина. Единственный способ избежать этого не состоит в том, чтобы рекламировать установку, пока непосредственно перед тем, как Вас не хотят отобразить машину. Вы могли создать новый набор, которому присвоили рекламу, затем добавьте конкретную машину к той группе, когда Вы хотите отобразить его.
Это - то, как мы делаем это. Мы также устанавливаем начальную загрузку PXE как первое действие запуска со всеми нашими машинами и устанавливаем развертывание ОС как обязательное присвоение. Тем путем мы можем повторно отобразить любую машину в нашей сети, никогда не касаясь его.
Если ваша цель - заблокировать доступ по протоколу HTTP, то вам, как правило, гораздо лучше настроить программу, предназначенную для фильтрации на этом уровне (например, squid + кальмар).
Если вы используете имена хостов в брандмауэре, ваш брандмауэр теперь зависит от DNS. Это открывает брандмауэр для ряда проблем:
Если вы используете имена хостов и не контролируете DNS, то кто-то другой эффективно контролирует ваши правила IPtables. Ошибки, ошибки или проблемы с безопасностью на их стороне становятся для вас проблемами.
Единственный раз, когда я видел, как хорошо используются имена хостов, это для внутренних операций. Я работал в офисе, где IP-адреса и имена хостов назначались через DHCP. Брандмауэры использовали имена хостов для создания барьеров между различными группами. Поскольку все это находилось под внутренним контролем, все работало хорошо.
Вы можете использовать оболочку для iptables, например shorewall, чтобы упростить поддержку правил.
Как уже говорили другие, вы не должны использовать разрешаемые имена DNS в правилах iptables. Они неточные, контролируются третьей стороной и, как правило, являются Плохой вещью (tm). Я также добавлю, что ваш DNS может выйти из строя или быть недоступным во время запуска службы iptables. В этом случае правило не будет добавлено вообще, и могут возникнуть проблемы совершенно нового типа (например, потеря доступа по ssh после перезапуска).
Что вы можете сделать:
ipset
, чтобы сгруппировать адреса и отделить их от правил Также никто не сказал ничего плохого об именах хостов, которые не разрешаются DNS (т.е. указаны в хостах
. Вы можете использовать их, если вам действительно нужно.
Я лично назначаю имя хоста ip вручную в /etc/hosts, а затем использую его в iptables.
Таким образом, вы