Re: как правильно загр ужать правила iptables
On Thu, Feb 28, 2008 at 03:24:54PM +0300, Artem Chuprina wrote: > SK> Последствия, криво отредактированного руками, iptables-save куда > плачевнее. > > Ой, да ладно. Оно просто не загрузится и сообщит об этом. Если не > откладывать переконфигурацию файрвола до перезагрузки машины, то > последствий вообще не будет Там чуток затейливей: commit делается целиком на таблицу. У меня недавно после переезда 2.4.x -> 2.6.x не загрузиласть таблица "nat" потому, что из 2.6 выкинули SNAT/DNAT multiple target. Пришлось редактором выправлять, благо проблемные правила уже не использовались и их надо было почистить. Есть ещё такой способ подстелить соломку: одновременно с редакцией правил в одном окошке держать "shutdown -r +5" в другом. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: как правильно загр ужать правила iptables
На Thu, 28 Feb 2008 14:26:15 +0200 Sergej Kandyla <[EMAIL PROTECTED]> записано: > Alexander GQ Gerasiov wrote: > >> Грамотным решением являлся бы старт rc-скрипта с правилами сразу > >> после через post-up в /etc/network/interfaces, без символьных > >> ссылок в rc?.d. post-up /etc/init.d/firewall start > >> > > На самом деле в pre-up. И не единый /etc/init.d/firewall а > > per-интерфейс. > > > > > не слишком ли обременително будет поддерживать кучу скриптов > "per-интерфейс", особенно если интерфейсов много? > к чему такие усложнения? только ради того чтобы набор правил > загрузился во время старта интерфейса...? Зависит от. В простой ситуации можно обойтись и одним скриптом. В общем случае - нет. И дело не в том, когда загрузятся правила, а в том, что в зависимости от поднятых интерфейсов у нас может требоваться иметь разные правила в iptables. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: как правильно загр ужать правила iptables
На Thu, 28 Feb 2008 13:54:33 +0300 Stanislav Kruchinin <[EMAIL PROTECTED]> записано: > Alexander GQ Gerasiov wrote: > > Общая логика: > > 1)правила файрвола - свойство интерфейса, а не системы. > > Это не так. iptables создает хуки и обрабатывает пакеты по мере > прохождения их через сетевой стэк (подсистему ядра), таким образом > правила являются свойствами "системы", а не сетевого интерфейса. Да нет же, речь не о том, как оно там внутре устроено. Речь о логике. Если у тебя есть несколько интерфейсов, то (в общем случае) в зависимости от того, какие интерфейсы у тебя подняты/опущены, должны быть установлены разные правила. > > 2)правила должны добавляться сразу, как активирован интерфейс, а не > > "когда-то в более позднем rc скрипте" > > Грамотным решением являлся бы старт rc-скрипта с правилами сразу > после через post-up в /etc/network/interfaces, без символьных ссылок > в rc?.d. post-up /etc/init.d/firewall start На самом деле в pre-up. И не единый /etc/init.d/firewall а per-интерфейс. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: как правильно загр ужать правила iptables
На Thu, 28 Feb 2008 15:22:35 +0600 Mikhail Solovyev <[EMAIL PROTECTED]> записано: > Хмм, оригинально. То есть предлагается руками написать файлы вида > iptables -t xx -A xxx bla-bla-bla (повторить N раз) > и положить куда-нибудь туда? раньше явно удобнее было.. > > А не подскажете ссылку на документацию, где сказано, почему > отказались от старого способа и решили перейти на такой? Ссылку не подскажу, см доку к пакету iptables, там было. Общая логика: 1)правила файрвола - свойство интерфейса, а не системы. 2)правила должны добавляться сразу, как активирован интерфейс, а не "когда-то в более позднем rc скрипте" -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
как правильно загр ужать правила iptables
Добрый день,
В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал
правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали.
Понятно, что можно до бесконечности таскать за собой тот старый скрипт,
но всё же интересно, чем руководствовались разработчики, когда его
убирали, и как теперь правильно делать.
---
Mikhail Solovyev
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
