17 октября 2013 г., 11:07 пользователь Alexey Markov <red...@mail.ru>написал:
> Hello, Alexander! > On October, 17 2013 at 11:27 you wrote to Alexey Markov: > > AY> Мне кажется в таких экспериментах с файрволлом, давно есть потребность > AY> указания команд, которые вернут всё в некий дефолт. > AY> например указываешь что твой возврат это будет > AY> "ipfw flush > AY> ipfw add allow all from $ADMIN_EXT_IP to me" > > В таком алгоритме есть один большой минус: при сбрасывании правил в > "дефолт" > потеряется доступ ко всем сервисам на сервере. Но будет возможность зайти и исправить на то что надо. > Поэтому я и выбрал другой > вариант: при обнаружении ошибки в новых правилах скрипт просто откатывается > к предыдущим. Ну, а если админ очень хочет прострелить себе ногу, то скрипт > просто проследит, чтобы это было сделано синтаксически корректно. ;-) > Да, и ваша утилитка как и все остальные продолжают стрелять админам в ноги, типа ССЗБ :) Вариант сбросить в дефолт и дать доступ откуда надо не самый правильный, но позволит по крайней мере играться удалённо с правилами и стрелять себе в ногу, с возможностью "загрузки сохранения", не привлекая ребуты и такси. > > AY> А выполнит его крон, если ощутит необходимость (например в who не будет > AY> никого нужного :) > > Привлекать крон - это уже излишняя сущность: надо будет добавлять и удалять > в него свои задания, отслеживать их статус... > так одна ж запись - она или есть или её удалить, вроде как не космические технологии. > > Мне кажется, можно сделать удобнее: добавить к скрипту ещё один ключик, > который задаст некий таймаут. Скрипт применит новые правила, выдаст на > консоль > строчку типа "To permanently apply new rules press Ctrl+С" и будет ждать > указанное время. Если за это время админ не прервёт работу скрипта, тот > автоматом откатит изменения правил. Как такой вариант? > Шелл может умереть от потери коннекта (и кильнёт ваш скрипт) , и оставит точно так же человека без связи. По сути ничем не отличается от простого применения правил :) А налагать ограничения что скрипт должен выполняться в скрине или тмуксе - лишний хардкод имхо. Вот если вариант с фейловер правилами и кроном будет - то да, через например N секунд скрипт попросит подтвердить например что с человеком связь есть, и что можно из крона удалить фейловер скрипт. Я не настаиваю, просто такая фича мне кажется востребована, если вам не кажется так и вы никогда не оставляли сервер удалённый без доступа извне - то вы явно из Золотого миллиона :) > -- > WBR, Alexey Markov. > -- Regards, Alexander Yerenkow