On Wed, Sep 06, 2006 at 03:11:08PM +0400, Stanislav Ievlev wrote: > Объявляется конкурс идей на тему "как лучше сделать бакенд для iptables". > Требования: > 0. Работать с iptables напрямую без промежуточных файлов во имя > сохранения каунтеров. (защищаться от дурака, который попробует > закрыть сам себе доступ будем внедрением обязательного правила > в filter которое даст принудительный accept на интерфейс > конфигуратора).
Лучше не так, а режимом "проверки", когда при отсутствии реакции этот accept (или иная аккуратная санитизация, как вариант -- откат на конфигурацию назад) делается по таймауту. Секунд 30--60. По крайней мере практика правки под screen с хвостами вида ; sleep 60 && service iptables stop иногда себя оправдывала. Возможность выстрелить себе в ногу в *NIX просто обязана быть, иначе заедят -- и будут правы -- потенциальным бакдором. > 1. Основное управление должно идти в терминах высокого уровня, > раскрывающихся с серию низкоуровневых команд к iptables. > Добавлять новые процедуры (видимо на каком-то скриптовом > языке) должно быть легко и просто. Идеи? Может, посмотреть на какую из прослоек вроде nufw? -- ---- WBR, Michael Shigorin <[EMAIL PROTECTED]> ------ Linux.Kiev http://www.linux.kiev.ua/ _______________________________________________ Devel-conf mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/devel-conf
