El sáb, 02-10-2004 a las 19:34, Maximiliano J. Goldsmid escribió: > A raiz de todo esto, estube mirando algo en Sarge, y note que ya no > existe mas el deamon /etc/init.d/iptables y tampoco el > /var/lib/iptables..... > > > > On Sat, 02 Oct 2004 19:00:55 -0300, Angel Claudio Alvarez > <angel@angel-alvarez.com.ar> wrote: > > El sáb, 02-10-2004 a las 13:24, Ricardo - Eureka! escribió: > > > On Sat, Oct 02, 2004 at 01:07:16PM -0300, Maximiliano J. Goldsmid wrote: > > > > Y... que si la IP que tenga el dominio cambia, al ejecutar el script > > > > nuevamente (por cron) se va a actualizar la regla para la nueva IP > > > > > > Por favor!!!! > > > 2 cosas: > > > > > > 1 - Como envie el extracto del man: puedes poner el NOMBRE del host en iptables, te lo resolvera automaticamente (aun que cambie de donde han sacado lo contrario????) pero eso consume mucho TIEMPO y recursos!!!!Justamente por eso lo desaconsejan alli mismo. > > > > > Tambien dice que es mala idea hacerlo... > > porque iptables guarda las IP en las tablas de routing y no el fqdn por > > lo que si cambia la ip esa regla deja de ser valida > > > > > 2 - Cual es el sentido de poner el nombre del dominio y no su direccion IP?????? > > > > > si usas ip dinamica, es obvio > > pero NO podes usar el esquema debian para iptables (guardar las reglas > > en /var/lib/iptables/active o inactive) Por lo que tendrias que cambiar > > el /etc/init.d/iptables por uno que simplemente ejecute el/los script/s > > con tus reglas y crearte un deamon(podria ser en perl) para que chequee > > la/s ip/s de determinados fqdn y en caso de haber variado correr el > > script de iptables creado por vos > > > No entendi por que no se podria... osea, por que se tendria que > cambiar el deamon de iptables por un script que ejecute las reglas, y > crear un deamon para que de haber variado, corra el script de > iptables.... > simplemente por una cuestion de economia de recursos. Para que correr un script que te actualice iptables ( tu script), y despues correr otro que te lo guarde(/etc/init.d/iptables) pudiendo hacer todo en un solo paso ( tu script) > Yo lo que haria seria: > 1) dejar el deamon de iptables como esta. > 2) crear mi script de reglas. (que genere las reglas, actualice el > active o inactive, y reinicie iptables) > 3) y colocar un cron para que ejecute el script > > Esto esta mal ? No, simplemete te repito lo de economia de recursos ( o filosofia KISS) > > no discuto que halla un problema de seguridad... cuando las ips > dinamicas cambien y mis reglan aun no se hallan actualizado, pero > fuera de eso problema existe otro ? > > todo esto en woody.... en sarge, no se, lo estoy mirando, por que ha > cambiado algo de esto.... como generan, guardan y actualizan las > reglas en sarge uds ? > un fiewall es algo muy particular, que tenes que definir de acuerdo a tus necesidades Personalmetne en algunas maquinas utilizo el script default de iptables pero otras donde necesito crear o destruir reglas en determinados momentos ( por ej:permitir trafico web hasta cierta hora o determinados dias) utilizo scripts creados por mi > Gracias. > Maxi > > de nada > > saludos > > > > > > > > > > > > > > On Sat, 2 Oct 2004 13:17:15 -0300, Ricardo - Eureka! <rido@sin.ec.om.ar> wrote: > > > > > On Sat, Oct 02, 2004 at 01:00:14PM -0300, Maximiliano J. Goldsmid wrote: > > > > > > Como te han dicho, vos podes crear tu script de reglas de iptables con > > > > > > nombres de dominio, pero iptables luego las va a reemplazar por la ip > > > > > > que actualmente tenga ese dominio.... > > > > > > > > > > > > Lo que podes hacer es poner ese script en el cron, y que se ejecute > > > > > > cada tanto tiempo... no se... cada 5 minutos, puede ser, y asi va a > > > > > > ir refrescando las reglas que se encuentren en el active en > > > > > > /var/lib/iptables/ > > > > > > > > > > > > no olvides de colocar esto: > > > > > > /etc/init.d/iptables save_active > > > > > > invoke-rc.d iptables restart > > > > > > > > > > > > al final del script para que las grabe como active en el /var/lib/iptables/ > > > > > > > > > > Cual es el sentido de hacer algo asi? > > > > > > > > > > > > > > > > > > > > -- > > > > > Ricardo A.Frydman > > > > > Analista de Sistemas de Computación > > > > > http://www.eureka-linux.com.ar > > > > > > > > > > (POR FAVOR! > > > > > NO envie documentos en formato Word http://breu.bulma.net/?l3192 > > > > > Gracias!!!) > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > Angel Claudio Alvarez > > Usuario Linux Registrado 143466 > > GPG Public Key en http://pgp.mit.edu > > key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 > > > > > > > > -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente