Re: Start script for iptables
В сообщении от Воскресенье 09 декабря 2007 Alexander V. Shepetko написал(a): Gosha wrote: А чем iptables-save и iptables-restore не устраивают-то? Прописать iptables-restore в качестве pre-up в /etc/network/interfaces ? Ну или сделать самому скрипт типа: Спасибо! Это все понятно. Интересовало именно, есть ли в Убунте готовое что-то, чтоб не ковыряться с портированием скриптов с других систем и написанием своих. Как оказалось, нет такого в Убунте. :-( УЖЕ нет, потому как убрали. -- WBR, Eugene V. Kravtsoff || EK01-UANIC, KRAV-RIPE JID: [EMAIL PROTECTED], ICQ: 930-128-41 MSN: [EMAIL PROTECTED], LJ : lj-user=ekrava -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Hi! Kylik Semen пишет: Ну вот авторы дистрибутива не посчитали это необходимым, возможно по простой причине, что iptables нужен не на всех машинах с Ubuntu. Смелое утверждение ;-) Слово возможно в моем утверждении ни о чем не говорит? Мне лично, проще сделать так как было задумано авторами дистрибутива. :-D Я не знаю, как было задумано авторами дистрибутива. А что тут знать-то? Вроде все и так понятно? Мне было интересно. При такой схеме запуска iptables, в случае down tun0, не окажется ли что все правила будут удалены и политика для цепочек установится в accept? Вот если вы специально пропишете у tun0 в post-down сброс всех правил в ACCEPT, то так и будет. Только зачем это нужно? Если это не затруднительно ответить тому, кто использует эту схему. И все :-). Вы можете опустить хоть все интерфейсы, это не окажет каких-либо действий на правила iptables, которому все равно, подняты интерфейсы или нет. -- Best regards! Gosha -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Hi! Sergey Markelov пишет: Это называется избыточность. Две копии одного и того же: авторский скрипт с комментариями и сохранённый iptables-save. Появляется вероятность различия в этих скриптах: что-нибудь изменилось из командной строки, или модифицирован но не загружен авторский скрипт. А потом начинаются бубны с танцем, вот же всё работало и вдруг перестало, вручную сверяются два скрипта... Если Вы такой педант, то никто не мешает запускать собственно скрипт с комментариями в pre-up интерфейса, вместо использования средств iptables. :-D -- Best regards! Gosha -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Может быть, немного не в тему, но я пользуюсь набором скриптов Shorewall (входит в репозиторий). ИМХО, самое то по соотношению простота/гибкость. Хотя, без манов в нем разобраться сложно. Да, и управляю я с его помощью корпоративным файрволлом, с несколькими провайдерами, множеством правил для разных клиентов... On 10/12/2007, Kylik Semen [EMAIL PROTECTED] wrote: В Пнд, 10/12/2007 в 09:32 +0500, Gosha пишет: Hi! Kylik Semen пишет: имхо, самое правильное и лучшее использовать iptables-save и iptables-restore в pre-up и post-down в /etc/network/interfaces и никаких скриптов не надо.. Если Вас не затруднит черкните пару строк, как отрабатывают скрипты pre- и post- для этой последовательности: eth0 - up ppp0 - up tun0 - up ... tun0 - down ppp0 - down и что выводит iptables -L ? имхо. iptables (и другие аналогичные сервисы) должен быть запущен до поднятия любого сетевого интерфейса. До поднятия любого - смысла особого нет, логичнее поднимать перед стартом интерфейса, смотрящего в и-нет. Потому стартовать нужно именно в pre-up такого интерфейса. Здесь более уместно использовать внешний - внутренний (контролирую сам), не доверяю - доверяю (контролирую сам). eth0 - домашняя сеть ( и с выходом в и-нет, а почему бы и нет) ppp0 - понятно куда ;-) tun0 - провайдер идиот (западло и т.д. на свой вкус), раздающий и-нет через VPN Для такого расклада лучшее решение /etc/init.d/iptables. PS. И я сам, бы скрипты iptables искал бы в /etc/init.d/ -- С пожеланием удачи Семен. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru -- С уважением, Дементьев Дмитрий -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
On Dec 10, 2007 2:20 PM, Dmitry Dementiev [EMAIL PROTECTED] wrote: Может быть, немного не в тему, но я пользуюсь набором скриптов Shorewall (входит в репозиторий). ИМХО, самое то по соотношению простота/гибкость. Хотя, без манов в нем разобраться сложно. Да, и управляю я с его помощью корпоративным файрволлом, с несколькими провайдерами, множеством правил для разных клиентов... shorewall - отличная вещь, сам им пользуюсь. Некоторое время назад этот продукт был единственным файрволом в main-репозитории. -- Dmitry -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Hi! Sergey Markelov пишет: И что здесь правильного? Будут одни строки из букв и цифр, и ни одного авторского комментария. Вообще-то наиболее частая практика такова - пишется скрипт, с правилами для iptables с комментариями, отлаживается, запускается. После чего сохраняется средствами iptables-save и поднимется при загрузке средствами iptables-restore. Или Вам комментарии нужны в процессе загрузки и сохранения? :-) Если в процессе работы нужно что-то изменить в правилах, правится этот скрипт, отлаживается и опять iptables-save и iptables-restore. IMHO это очень удобно. Можно просто такой скрипт считать конфигурационным файлом программы, а iptables-save и iptables-restore - средствами сохранения и загрузки конфигурации. Roma Yandolin пишет: имхо, самое правильное и лучшее использовать iptables-save и iptables-restore в pre-up и post-down в /etc/network/interfaces и никаких скриптов не надо.. -- Best regards! Gosha -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Hi! Kylik Semen пишет: eth0 - домашняя сеть ( и с выходом в и-нет, а почему бы и нет) ppp0 - понятно куда ;-) tun0 - провайдер идиот (западло и т.д. на свой вкус), раздающий и-нет через VPN Для такого расклада лучшее решение /etc/init.d/iptables. PS. И я сам, бы скрипты iptables искал бы в /etc/init.d/ Ну вот авторы дистрибутива не посчитали это необходимым, возможно по простой причине, что iptables нужен не на всех машинах с Ubuntu. Но Linux тем и хорош, что никто не мешает если Вам удобнее через /etc/init.d/iptables взять подобный скрипт из другого дистрибутива или написать самому, благо это не сложно, а заодно озаботиться порядком загрузки его через init, учтя тот момент, что когда поднимется интерфейс, смотрящий наружу, iptables уже должен стартануть. :-) Мне лично, проще сделать так как было задумано авторами дистрибутива. :-D -- Best regards! Gosha -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Доброго вечера! В Пнд, 10/12/2007 в 21:40 +0500, Gosha пишет: Hi! Kylik Semen пишет: eth0 - домашняя сеть ( и с выходом в и-нет, а почему бы и нет) ppp0 - понятно куда ;-) tun0 - провайдер идиот (западло и т.д. на свой вкус), раздающий и-нет через VPN Для такого расклада лучшее решение /etc/init.d/iptables. PS. И я сам, бы скрипты iptables искал бы в /etc/init.d/ Ну вот авторы дистрибутива не посчитали это необходимым, возможно по простой причине, что iptables нужен не на всех машинах с Ubuntu. Смелое утверждение ;-) Это и понятно. Частности усложняют жизнь. Но Linux тем и хорош, что никто не мешает если Вам удобнее через /etc/init.d/iptables взять подобный скрипт из другого дистрибутива или написать самому, благо это не сложно, а заодно озаботиться порядком загрузки его через init, учтя тот момент, что когда поднимется интерфейс, смотрящий наружу, iptables уже должен стартануть. :-) Мне лично, проще сделать так как было задумано авторами дистрибутива. :-D Я не знаю, как было задумано авторами дистрибутива. Мне было интересно. При такой схеме запуска iptables, в случае down tun0, не окажется ли что все правила будут удалены и политика для цепочек установится в accept? Если это не затруднительно ответить тому, кто использует эту схему. И все :-). -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Это называется избыточность. Две копии одного и того же: авторский скрипт с комментариями и сохранённый iptables-save. Появляется вероятность различия в этих скриптах: что-нибудь изменилось из командной строки, или модифицирован но не загружен авторский скрипт. А потом начинаются бубны с танцем, вот же всё работало и вдруг перестало, вручную сверяются два скрипта... Gosha пишет: Hi! Sergey Markelov пишет: И что здесь правильного? Будут одни строки из букв и цифр, и ни одного авторского комментария. Вообще-то наиболее частая практика такова - пишется скрипт, с правилами для iptables с комментариями, отлаживается, запускается. После чего сохраняется средствами iptables-save и поднимется при загрузке средствами iptables-restore. Или Вам комментарии нужны в процессе загрузки и сохранения? :-) Если в процессе работы нужно что-то изменить в правилах, правится этот скрипт, отлаживается и опять iptables-save и iptables-restore. IMHO это очень удобно. Можно просто такой скрипт считать конфигурационным файлом программы, а iptables-save и iptables-restore - средствами сохранения и загрузки конфигурации. Roma Yandolin пишет: имхо, самое правильное и лучшее использовать iptables-save и iptables-restore в pre-up и post-down в /etc/network/interfaces и никаких скриптов не надо.. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Gosha wrote: А чем iptables-save и iptables-restore не устраивают-то? Прописать iptables-restore в качестве pre-up в /etc/network/interfaces ? Ну или сделать самому скрипт типа: Спасибо! Это все понятно. Интересовало именно, есть ли в Убунте готовое что-то, чтоб не ковыряться с портированием скриптов с других систем и написанием своих. Как оказалось, нет такого в Убунте. :-( -- With Best Regards, Alexander Shepetko http://www.ashep.org http://picasaweb.google.com.ua/alexander.shepetko ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Alexander V. Shepetko пишет: Gosha wrote: А чем iptables-save и iptables-restore не устраивают-то? Прописать iptables-restore в качестве pre-up в /etc/network/interfaces ? Ну или сделать самому скрипт типа: Спасибо! Это все понятно. Интересовало именно, есть ли в Убунте готовое что-то, чтоб не ковыряться с портированием скриптов с других систем и написанием своих. Как оказалось, нет такого в Убунте. :-( А все-таки чем iptables-save и iptables-restore не устраивают в качестве готового? -- Best regards! Gosha -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
On Dec 9, 2007 6:15 PM, Alexander V. Shepetko [EMAIL PROTECTED] wrote Спасибо! Это все понятно. Интересовало именно, есть ли в Убунте готовое что-то, чтоб не ковыряться с портированием скриптов с других систем и написанием своих. Как оказалось, нет такого в Убунте. :-( имхо, самое правильное и лучшее использовать iptables-save и iptables-restore в pre-up и post-down в /etc/network/interfaces и никаких скриптов не надо.. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Gosha wrote: А все-таки чем iptables-save и iptables-restore не устраивают в качестве готового? Тем, что их все-равно нужно куда-то запихивать. То есть, писать какие-то скрипты. Хочется сделать так, чтобы минимально использовать разного рода самоделки. Так что, как уже сказали, действительно, самый правильный и красивый вариант - /etc/network/interfaces. Спасибо всем, кто отозвался! :-) -- With Best Regards, Alexander Shepetko http://www.ashep.org http://picasaweb.google.com.ua/alexander.shepetko ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Доброго дня. В Вск, 09/12/2007 в 18:55 +0300, Roma Yandolin пишет: On Dec 9, 2007 6:15 PM, Alexander V. Shepetko [EMAIL PROTECTED] wrote Спасибо! Это все понятно. Интересовало именно, есть ли в Убунте готовое что-то, чтоб не ковыряться с портированием скриптов с других систем и написанием своих. Как оказалось, нет такого в Убунте. :-( имхо, самое правильное и лучшее использовать iptables-save и iptables-restore в pre-up и post-down в /etc/network/interfaces и никаких скриптов не надо.. Если Вас не затруднит черкните пару строк, как отрабатывают скрипты pre- и post- для этой последовательности: eth0 - up ppp0 - up tun0 - up ... tun0 - down ppp0 - down и что выводит iptables -L ? имхо. iptables (и другие аналогичные сервисы) должен быть запущен до поднятия любого сетевого интерфейса. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Hi! Kylik Semen пишет: имхо, самое правильное и лучшее использовать iptables-save и iptables-restore в pre-up и post-down в /etc/network/interfaces и никаких скриптов не надо.. Если Вас не затруднит черкните пару строк, как отрабатывают скрипты pre- и post- для этой последовательности: eth0 - up ppp0 - up tun0 - up ... tun0 - down ppp0 - down и что выводит iptables -L ? имхо. iptables (и другие аналогичные сервисы) должен быть запущен до поднятия любого сетевого интерфейса. До поднятия любого - смысла особого нет, логичнее поднимать перед стартом интерфейса, смотрящего в и-нет. Потому стартовать нужно именно в pre-up такого интерфейса. -- Best regards! Gosha -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
В сообщении от 7 декабря 2007 Alexander V. Shepetko написал(a): Когда я пользовал еще РедХат, в /etc/init.d имелся скрипт с именем iptables, который при вызове с параметром stop, сохранял все правила брандмауэра ядра в файлик, а при вызове с параметром start торжественно все читал из этого файла и восстанавливал правила. Удобная штука, блин. Была. В общем-то, можно тот скрипт банально скопировать с Шапки/Федоры :-) -- С уважением, Сергей Бейлин Jabber ID: [EMAIL PROTECTED] -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Hi! Alexander V. Shepetko пишет: Gosha wrote: Все очень просто: dpkg-query -L iptables /sbin/iptables /sbin/iptables-save /sbin/iptables-restore Это понятно :) Просто интересовало, если в уже готовое решение в виде скрипта. И если его нет, то это очень странно :( А чем iptables-save и iptables-restore не устраивают-то? Прописать iptables-restore в качестве pre-up в /etc/network/interfaces ? Ну или сделать самому скрипт типа: IPT=/sbin/iptables IPTS=/sbin/iptables-save IPTR=/sbin/iptables-restore if [ $1 = save ] then echo -n Saving firewall to /etc/firewall/iptables ... $IPTS /etc/firewall/iptables echo done exit 0 elif [ $1 = restore ] then echo -n Restoring firewall from /etc/firewall/iptables ... $IPTR /etc/firewall/iptables echo done exit 0 fi -- Best regards! Gosha -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
Hi! Alexander V. Shepetko пишет: Когда я пользовал еще РедХат, в /etc/init.d имелся скрипт с именем iptables, который при вызове с параметром stop, сохранял все правила брандмауэра ядра в файлик, а при вызове с параметром start торжественно все читал из этого файла и восстанавливал правила. Удобная штука, блин. Была. Скажите, пожалуйста, каким традиционным методом в Ubuntu решается данная задача? То есть, нужно, чтобы при загрузке системы правила восстанавливались, а при выключении - сохранялись. Все очень просто: dpkg-query -L iptables /sbin/iptables /sbin/iptables-save /sbin/iptables-restore :-) -- Best regards! Igor Solovyov -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: Start script for iptables
В Чтв, 06/12/2007 в 22:40 +0200, Alexander V. Shepetko пишет: Привет всем! Доброго дня. Когда я пользовал еще РедХат, в /etc/init.d имелся скрипт с именем iptables, который при вызове с параметром stop, сохранял все правила брандмауэра ядра в файлик, а при вызове с параметром start торжественно все читал из этого файла и восстанавливал правила. Удобная штука, блин. Была. Скажите, пожалуйста, каким традиционным методом в Ubuntu решается данная задача? То есть, нужно, чтобы при загрузке системы правила восстанавливались, а при выключении - сохранялись. Если можно, firestarter и /etc/rc.local не предлагать :) Спасибо! http://ubuntuforums.org/showthread.php?t=19106 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
