Гори, стена, гори ярче солнца
Админю в небольшой конторе в далёком Замкадье. Работа не особо нервная, на полставки, но иногда бывают небольшие форс-мажоры.
Однажды, просматривая логи шлюза, вижу, что auth.log растёт как-то неестественно быстро. Смотрю и удивляюсь: в логах чётко просматривается усиленная долбёжка ко мне на сервер по SSH. Решаю проблему тривиальным образом — перевешиваю SSH на другой порт. Однако, будучи по натуре параноиком, задумываюсь над реализацией сверхзащищённого файрвола.
Начинаю усиленно курить маны по небезызвестному стандартному файрволу FreeBSD и вдруг понимаю, что та конфигурация, которая сейчас действует на шлюзе, вообще ни от чего не защищает, а наоборот, предлагает. Мысленно придумываю каламбур: «Этот файрвол ничего не файрволит, мы пойдём другим путём» — и состряпываю на скорую руку конфиг параноидального вида, совершенно упуская из вида одну важную деталь. Без тени сомнения отправляю сервер в ребут и через минуту слышу недовольные телефонные звонки от пользователей: «Нет интернета! Почта не отправляется!»
Пытаюсь подцепиться к шлюзу по SSH — болт! Поняв, что перемудрил с правилами файрвола, вылетаю и бегу к шлюзу, который стоит довольно далеко, моля админского бога о том, чтобы поблизости оказались монитор с клавиатурой. В голове бегают нездоровые мысли, что сейчас меня будут бить бесперебойниками, если ничего не заработает. Админский бог помогает, и после очередного ребута система работает отличным образом с дефолтным конфигом.
На этом я не успокаиваюсь, и пишу новый конфиг, уже разрешая SSH. Теперь-то должно прокатить! Вы уже поняли, чем кончилось дело? Да-да, опять меня ждала беготня к серверу…
Админы, если уж вы так любите SSH, не экспериментируйте с файрволом в рабочее время, а если уж и экспериментируете, то постарайтесь, чтобы сервер стоял поближе, оснащённый монитором и клавой. И ещё… Не будьте параноиками, коллеги!