On Mon, Jun 02, 2008 at 09:56:17AM +0400, Oleg Frolkov wrote: > Alexey Boyko пишет: >> Saturday 31 May 2008 00:09:14 Alexander GQ Gerasiov написав: >> >> >>> Господа, а чем сейчас модно генерировать правила файрвола? >>> Понятно, что можно руками писать, но как-то слишком уж объемно >>> получается. Можно (и сейчас так и сделано), в шелл скрипте пяток >>> функций задать, чтобы правила попроще вылядели, но нет ли чего хорошего >>> готового? И чтобы нат знало/умело. Shorewall? >>> >> >> apt-get install ferm >> >> Свой, более читаемый язык. Есть функции и переменные, группирование >> правил, backticks, и др. >> >> пример файла с правилами : >> > [axed] > > Тоже им пользуюсь с давних пор, но ищу замену. Он хорош, но только как > препроцессор для генерации > скрипта iptables, а хочется порой чего-то более гибкого. Например надо > еще добавить правил - в случае с > ferm это полный рестарт файрволла который например в моем случае - > требует переинициализации всех > правил которые добавлены не с помощью ferm (у меня при поднятии ppp > интерфейсов приписываются > дополнительные строчки для NAT в зависимости от адресов с которыми > поднимается ppp, т.е после рестарта ferm - имеем сломанный NAT на ppp > интерфейсах.) вот и хотелось-бы файрволл который умеет добавить/удалить > конкретные блоки правил а не рестартовать iptables очищая все цепочки.
Я просто вынес правила для каждой цепочки в отдельный шелл-скрипт, написанный так, чтобы при его запуске конкретно эта и только эта цепочка переписалась. ------------------------- # head nat_postrouting # vim: ft=sh . /etc/network/iptables/common_config $IPTABLES -t nat -N snat $IPTABLES -t nat -F POSTROUTING <правила> ------------------------- -- Yauhen Kharuzhy jekhor _at_ gmail.com JID: [EMAIL PROTECTED] A: No Q: Should I quote below my post? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]