No právě, stačilo říct;) Ale nemohl jsem tě sehnat...

Hned jak budu mít trochu času tak se na to vrhnu. Snad to stihnu ještě před zkouškama, jinak by to bylo do konce ledna určitě.

Placnul jsem tam ten script, protoze jsem povazoval za dobre dat zacatecnikum alespon nejaky ten script na firewall, protoze tam nebylo nic a lidi v te sekci pravdepodobne uz hledaji.

S tím bych tak úplně nesouhlasil. Na to, aby ten skript šel okamžitě nasadit, je příliš specifický (kdyby nic jiného, bylo by vhodné nastavení síťových rozhraní dát na začátku do proměnných, ať se to nemusí hledat a opravovat po celém skriptu). Bez aspoň základních znalostí netfilteru nebude začátečník vědět, co si s tím počít. Pro tyhle účely se daleko více hodí různá hotová řešení (jakkoli je nemám rád). Opravdu si myslím, že tohle by bylo lepší nechat až do toho druhého dílu, kde bude prostor udělat to pořádně - ale přesunout se to samozřejmě dá kdykoli, až bude kam.

Uvedomuji si vsechny nedostatky...

Snad ano, ale pro jistotu napíšu, co se mi na tom skriptu nezdá:

• oddělit konfigurovatelné parametry do proměnných (viz výše)
• RP filter bych raději nezapínal; jediný jeho pozitivní efekt je v tom, že (za určitých okolností) chrání před tím, aby se někdo "venku" vydával podvržením IP adresy za někoho "vevnitř", rozumně nastavený paketový filtr by tomu měl ale zabránit tak jako tak; naopak, je dost situací, kdy RP filter způsobuje těžko detekovatelné problémy
• promazávání chain po chainu je zbytečné, stačí 'iptables -t $TABLE -F'
• proč se promazávání řetězců provádí na dynamicky získaném seznamu tabulek, ale nulování počitadel ne?
• Proč zahazujete všechny druhé a další fragmenty? Takové chování mi nepřipadá ani korektní ani rozumné. K čemu je v tom pravidle podmínka '-s 0/0'?
• Proč je v chainu OUTPUT politika DROP, ale pak se stejně povolí všechny běžně používané protokoly? Nebylo by lepší dát rovnou politiku ACCEPT?
• U ESTABLISHED a RELATED paketů podobná připomínka jako u chainu OUTPUT: proč je povolovat protokol po protokolu a ne všechny najednou?
• U služeb povolovaných zvenku je vhodné otestovat, zda odpovídá cílová adresa - viz např. článek remote localhost routing (řešení, které je v něm navrhováno, ale není úplně optimální, lepší je kontrolovat přímo, zda cílová adresa je "správná" než to, jestli nepatří do jedné skupiny nesprávných).
• RFC 1349 je obsolete (přes sedm let, RFC 2474 pochází z prosince 1998). Ano, v praxi se relativně často hodnoty podle něj (nebo spíš podle původního RFC 791) používají, ale do učebnice bych nastavování ToS podle něj raději nedával. Navíc přiřazení hodnot službám je trochu diskutabilní, např. MD pro SMTP na jedné straně a MT pro X11 na druhé.