Re: arranque automatico de itpables
----- Original Message -----
From: "Antonio Trujillo Carmona"
> El jue, 23-02-2006 a las 21:32 +0100, Miguel Luque escribió:
> > Antonio Trujillo Carmona escribió:
> > > El jue, 23-02-2006 a las 00:15 +0100, Iñaki escribió:
> > >
> > >
> > >> Yo tengo ese script (que por otra parte es maravilloso para majenar Iptables
> > >> mucho más potentemente). Eso sí, no tengo ni pajolera idea de dónde proviene,
> > >> ya que me lo pasó un amigo que tampoco lo sabe.
> > >>
> > > Muchas gracia, pero como ya he dicho yo también lo tengo (lo he copiado
> > > de la máquina antigua) y me funciona, pero lo que quiero es aprender
> > > como se supone que se levantas las reglas en un equipo instalado "puro"
> > > sin parchear, y es que hay veces en que nos acostumbramos a trabajar de
> > > un modo y cuando hay cambios no los seguimos, pero ello pasado un tiempo
> > > nos lleva a pegarnos un tortazo.
> > > Como anecdota, contare que en otra maquina que tenia que hacer se
> > > servidor de correo me encontré que tras un upgrade cada vez que se
> > > reinicia la maquina se borra el fichero "/etc/resolv.conf" lo escribí,
> > > lo reescribí, le puse atributos de solo lectura, de imborrable y no se
> > > que cuantas cosas mas, y al final estudiando en las documentacioones
> > > encontré que ahora se ponen los servidores de DNS en
> > > el /etc/network/interfaces para que funcione un hotplug cuando enchufas
> > > y desenchufas los cables de red.
> > > Por eso pregunto, valla a ser que este cambiando algo y yo siga
> > > parcheando para quedarme atrás.
> > >
> > Parece ser que en la forma de hacerlo en sarge es:
> > 1. Configuras iptables
> > 2. Guardas el estado del cortafuegos en un archivo mediante
> > iptables-save -c > archivo
> > 3. Creas un script que restaure el cortafuegos, p.ej.
> > echo "iptables-restore -c < archivo" > inicio-iptables.sh
> > 4. Lo metes en /etc/network/if-up.d/
> > cp ./inicio-iptables.sh /etc/network/if-up.d/
> > 5. Le das permisos de ejecución
> > chmod a+x /etc/network/if-up.d/inicio-iptables.sh
> >
> > Es un poco mas laborioso que con /etc/init.d/iptables
>
> tiene mucha lógica pues hay reglas que puede que las quieras dependiendo
> de si esta activa una interfaz de red u otra (por red o por wifi por
> ejemplo) y en /etc/network se controlan que redes están activas (como el
> caso de la anecdota de los DNS que puse).
> Solo habrá que averiguar como
> se vinculas las reglas con las interfaces (para que se ejecuten las
> correspondientes a cada interfaz) y poner en if-down.d las ordenes de
> eliminación de las reglas sobrantes.
Cada vez que se levanta una if, se ejecutan por orden alfabetico todos los scripts de
/etc/network/if-up.d/
Pero si queremos ejecutar scripts solo cuando un if se levanta / baja hay que usar
/etc/network/interfaces
Por ejemplo
iface eth0 inet dhcp
pre-up /sbin/iptables-restore < /etc/iptables/eth0_rules
post-down /sbin/iptables-restore < /etc/iptables/eth0_flush
Como siempre man interfaces
>
> > El caso es que estoy buscando donde leí que era así, y no lo encuentro.
> > Funcionar funciona.
> >
Saludos
Guimi
http://www.guimi.net
Reply to: