Создание iptables легче поддержать
SCCM будет всегда отображать все рекламные объявления для набора (наборов), которому присвоена машина. Единственный способ избежать этого не состоит в том, чтобы рекламировать установку, пока непосредственно перед тем, как Вас не хотят отобразить машину. Вы могли создать новый набор, которому присвоили рекламу, затем добавьте конкретную машину к той группе, когда Вы хотите отобразить его.
Это - то, как мы делаем это. Мы также устанавливаем начальную загрузку PXE как первое действие запуска со всеми нашими машинами и устанавливаем развертывание ОС как обязательное присвоение. Тем путем мы можем повторно отобразить любую машину в нашей сети, никогда не касаясь его.
- DNS-имена разрешаются при добавлении правил, а не при проверке пакетов. Это нарушает ожидания большинства людей.
- Правило не обновляется для отражения измененных результатов DNS. Это решается при добавлении, и все. Вам нужно будет либо периодически перезагружать правила, либо некоторые сайты могут выйти из строя.
- Есть небольшая проблема безопасности, заключающаяся в том, что вы в основном делегируете управление правилами своего брандмауэра внешнему объекту.
- Что делать, если ваш родительский DNS-сервер скомпрометирован и возвращает ложные данные.
Если ваша цель - заблокировать доступ по протоколу HTTP, то вам, как правило, гораздо лучше настроить программу, предназначенную для фильтрации на этом уровне (например, squid + кальмар).
Если вы используете имена хостов в брандмауэре, ваш брандмауэр теперь зависит от DNS. Это открывает брандмауэр для ряда проблем:
- DNS-поиск в больших объемах может вызвать задержку.
- Изменения DNS не распространяются мгновенно. Так что ваш брандмауэр может быть с использованием кешированных IP-адресов.
- DNS можно подделать, перехватить, взломать.
- DNS может дать сбой - это означает, что ваш брандмауэр не работает.
- Правила вашего брандмауэра теперь контролируются третьей стороной.
Если вы используете имена хостов и не контролируете DNS, то кто-то другой эффективно контролирует ваши правила IPtables. Ошибки, ошибки или проблемы с безопасностью на их стороне становятся для вас проблемами.
Единственный раз, когда я видел, как хорошо используются имена хостов, это для внутренних операций. Я работал в офисе, где IP-адреса и имена хостов назначались через DHCP. Брандмауэры использовали имена хостов для создания барьеров между различными группами. Поскольку все это находилось под внутренним контролем, все работало хорошо.
Вы можете использовать оболочку для iptables, например shorewall, чтобы упростить поддержку правил.
Как уже говорили другие, вы не должны использовать разрешаемые имена DNS в правилах iptables. Они неточные, контролируются третьей стороной и, как правило, являются Плохой вещью (tm). Я также добавлю, что ваш DNS может выйти из строя или быть недоступным во время запуска службы iptables. В этом случае правило не будет добавлено вообще, и могут возникнуть проблемы совершенно нового типа (например, потеря доступа по ssh после перезапуска).
Что вы можете сделать:
- Используйте настраиваемые цепочки для логического разделения правил
- Используйте
ipset, чтобы сгруппировать адреса и отделить их от правил - Добавить комментарии к правилам
Также никто не сказал ничего плохого об именах хостов, которые не разрешаются DNS (т.е. указаны в хостах . Вы можете использовать их, если вам действительно нужно.
Я лично назначаю имя хоста ip вручную в /etc/hosts, а затем использую его в iptables.
Таким образом, вы
- Не разгружаете правила брандмауэра на внешнюю сущность
- Имеете легко поддерживаемые iptables