Всем привет

организационньій вопрос: Как вьі взаимедействуете с пользователями, когда вам надо иметь общий наглядньій всеми редактируемьій конфиг фаервола.
теперь поясняю
У вас когфиг хранится в git, etc и вьі по мере надобности заливаете/меняете его, но показать(а точнее написать что хочет владелеци сервисов по дуступам) правила фаервола для 95% людей - єто показать набор буковок и циферок.
Вьі создаете скажем гугл таблицу и в ней в наглядном виде описьіваете в каждой вкладке сервис и внутри вкладки, куда он и кто к нему может ходить, а потом сами єто переводите в правила фаервола. У єтого подхода есть большая проблема - єто управление зависимостями, когда, к примеру у мервиса меняется адрес - то его надо менять во всех вкладках и часто чтото теряется.
А как у вас такое организовано?
Спасибо

Есть 2 способа, "Разрешено все, что не запрещено" и "Запрещено все, что не разрешено". Решите для себя сами, что лучше :)

мня второй нужен. Я знаю, что есть правило log вместо дропа, когда чтото внедряешь. и потом допиливаешь правила, хочется єто както автоматизировать

У меня был кейс когда на одной материнке слетел мак и был виден именно как нули

Лог не вместо дропа. Автоматизацию можно попробовать прикрутить например какими-то скриптами на линукс сервере, чтоб одной командой мог менять эти ваши адреса и в гуглотаблицах, и в микротах, и флудить кому надо

а раскатываете из гита какой-нибудь автоматикой?

если да, то можно полностью отвязаться от ip-адресов, и привязываться к dns-именам. И резолвить их при каждой раскатке конфига. И, зарядить, например, шедулер, который будет раз в сутки банить пользователей или запускать его вручную при изменениях в инфраструктуре.

а если я оперирую сетями, не всегда могут бьіть только адреса

используй имена и резолви их.

или как ты это делаешь вручную?

по scp кидается diff из гита и он применяется

что ты используешь вместо адресов?

координаты

адреса

кстати. Попробуй ансибл. Его плейбуки тоже могут храниться в гите =)

эээ

ты сам себе противоречишь.

Доброго дня всем!

как можно при использовании виртуального интерфейса wifi
отрубить раздачу у мастер интерфейса
как вообще не раздавать с мастер интерфейса ?

а смысл?