В Чтв, 28/02/2008 в 14:21 +0300, Artem Chuprina пишет: > Stanislav Kruchinin -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008 > 13:54:33 +0300: > > >> Общая логика: 1)правила файрвола - свойство интерфейса, а не системы. > > SK> Это не так. iptables создает хуки и обрабатывает пакеты по мере > SK> прохождения их через сетевой стэк (подсистему ядра), таким образом > SK> правила являются свойствами "системы", а не сетевого > SK> интерфейса. Имена интерфейсов могут использоваться в правилах, а > SK> могут и не использоваться, это заранее неясно. Поэтому правила надо > SK> применять после того, как активированы все интерфейсы. Однако, это > SK> не оправдывает полный отказ от стандартного rc-скрипта. > > Правила надо применять ДО того, как подняты все интерфейсы. Поэтому, > кстати, ничто не мешает поднимать их в up-скрипте интерфейса lo. Он > поднимается первым.
Я бы сказал так: 1. Почти всегда есть статический набор правил не (не сильно) зависящий от возможных динамических имён интерфейсов. Такие правила лучше вставлять при загрузке через /etc/init.d/iptables start посредством iptables-restore < /etc/iptables/iptables_rules.boot. 2. Динамические правила, в том числе правила зависящие от имени (или других параметров) интерфейса, которые заранее не известны лучше подгружать/удалять сразу перед/после поднятием/опусканием интерфейса через /etc/network/interfaces (pre-up/post-down) посредством скриптов /etc/iptables/*.[up|down]. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]