Alex Rex

Вот задумался над тем что применить на новой vds-ке для управления файрволлом.

Раньше у меня был iptables-persistent, но сколько можно, iptables уже лет пять как deprecated.

В Debian умолчательным способом считается юнит nftables, который просто загружает вручную напсанный конфиг. Есть еще nftables-persistent, который работает так же как iptables-persistent т.е. сохраняет конфигурацию, а потом ее загружает, но средствами nftables.

Есть ufw, который использует bsd-шный синтаксис, а есть firewalld, который имеет крайне развесистую схему конфигурации. Насколько я понял firewalld, это попытка сделать из linux андроид, т.е. передать контроль над ситуацией от пользователя/сисадмина авторам приложений. Впрочем как я почитал ченджлоги systemd 258, идея сделать из линукса андроид потихоньку овладевает массами.

Мне, естественно, концепция firewalld не понравилась. Тем более что в имеющемся наборе конфигов как-то путаница между приложениями и протоколами. Например для imap, imaps, и managesieve - разные конфиги. Хотя сервис один и тот же.

Вот теперь думаю, nftables или nftables-persistent. Первый заставит выучить новый синтаксис (вообще-то давно пора), со вторым можно по-моему договориться, используя синатксис iptables (через iptables-nft).

X-Post to LJ

Начал понемногу переносить содержимое wagner.pp.ru на новый сервер. Процесс идет медленно, поскольку за время существования сервера у меня там столько барахла скопилось, что прям разгребательство авгиенвых конюшен получается.

Тем более, что я сначала себе заказал виртуалку с Debian 13, а потом стал понемногу туда переносить конфиги и данные с бэкапа виртуалки, работавшей под debian 12, причепм многие из конфигов и скриптов там не редактировались со времен Debian 10, если не 9.

Конфигурацию dovecot пришлось полностью с нуля переписывать. Там синтаксис поменяли во многих местах по мелочи, но несовместимо. Теперь, правда, конфиг начинается с указания версии языка конфигурации. Так что можно будет долго не трогать.

В спамассасине auto_whitelist заменили на auto_welcomelist.

Обнаружил, что у меня скрипт для менеджмента почтовых юзеров и паролей в базе sqlite до сих пор написан на втором питоне. Быстренько поправил и довел до 10 баллов в pylint. В принципе там 2to3 бы справился, но мне было проще руками поправить, чем разбираться с использвоанием 2to3 - скрипт там близок к тривиальному.

Вот вебовский вариант смены паролей надо будет переделать. Я все защищенные области в http пересадил на ту же sqlite-вскую базу, которую использует dovecot.

Матрицу решил выкинуть. Равно как и openid-провайдера. Черт те сколько лет никуда по openid не логинился. А матрица оказалась абсолютно бессмысленной в качестве канала посылки сообщений от роботов на смартфон - пока клиент не откроешь, он не видит что что-то приходило. Чтобы видел, нужно к мобильному клиенту какой-то сервис нотификации прикрутить - либо Google Play, либо ntfy, либо jabber. Так уж проще jabber и использовать без нахлобучек в виде матрицы. Благо веб-клиентов к нему теперь море - он через вебсокеты работать научился, и вебклиенты есть даже в дистрибутиве. И dovecot sasl prosody умеет из коробки. В отличие от матрицы с ее стремлением перелезть на oauth. Но, увы, старых конфигов prosody у меня в бэкапах не сохранилось. Отротировались уже. Придется тоже с нуля делать. Посмотрим, научились ли за последние 5 лет jabber-клиенты аудио-видео звонкам. В начале ковида оно работало как-то плохо.