Re: iptables

[Daniel Ginsburg <dg@sunet.ru>]

On Sat, Oct 26, 2002 at 06:10:18PM +0400, E. Karpachov wrote:
> On Sat, Oct 26, 2002 at 02:24:44PM +0300, Maxim V. Kalinkevich wrote:
> > # Q: You concocted this init.d setup, but you do not like it? 
> > 
> > # A: I was pretty much hounded into providing it. I do not like it. 
> > 
> > #    Don't use it. Use /etc/network/interfaces, use /etc/network/*.d/ 
> > 
> > #    scripts use /etc/ppp/ip-*.d/ script. Create your own custom 
> > 
> > #    init.d script -- no need to even name it iptables.  Use ferm, 
> > 
> > #    ipmasq, ipmenu, guarddog, firestarter, or one of the many other 
> > 
> > #    firewall configuration tools available. Do not use the init.d 
> > 
> > #    script.
> 
> А по существу претензии к /etc/init.d/iptables есть? "Не нравится" -
> как-то не тянет на причину. Мне вообще шелловские скрипты не нравятся, и
> не удивительно - почему они вдруг нравиться должны? Костыль он и есть
> костыль, но, кажется, делает то, что надо.
> 

Не делает и половины. Не позволяет делать главного - понимать, что же на
самом деле делает текущая конфигурация пакетного фильтра и как ее нужно
изменить, чтобы она делала то, что надо. Шизофренический синтаксис правил
iptables и так не способствует maintainability и не надо усугублять ситуацию.

-- 
dg