Re: firewalls (was: ipchains)
On 2003.01.29 at 11:04:20 +0200, Denis A. Kulgeyko wrote:
> > Я, честно говоря, не помню процесс перетаскивания своего
> > firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для
> > прозрачного прокси. В общем, было это в другом дистрибутиве, так что
> > неважно. Но по крайней мере фильтрация пакетов и получение статистики
> > должны работать.
>
> Закину свои ржавых 1/20 часть "Убитого американского Енота". :)
> Я для firewall'ов (а в свое время пришлось писать их немало, все на линухе, в
> основном woody/2.4.x) долго искал хороший инструмент для автоматизации.
> Потому как писать _все_ правила ipchains/iptables руками
А зачем писать их все руками?
В конце концов, это обычные юниксовые команды, вызывающиеся из
shell-овского скрипта.
Я генерирую из биллинговой базы файлик вида
block такой-то-IP
allow такoй-то-IP smtp socks
disallow такой-то-IP http
После чего этот файлик включается командой source в скрипт инициализации
файрволла. А в том определены shell-функции block, allow, disallow etc.
Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг
зачем-то понадобилось перегрузить машину с 2.2 ядром.
Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или
2.4 определит другие функции.
> Конфиг кидается в /etc, перестраиваем firewall только руками (генерим,
> проверяем, запускаем, сохраняем), а для woody используем /etc/init.d/iptables
> load/save :)
А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и
последовал его совету - не использовать, а использовать что-нибудь
другое. В данном случае развил свой старый /etc/init.d/firewall
Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
инструментов вполне себе входит.
--
Victor Wagner vitus@ice.ru
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net http://www.ice.ru/~vitus
Reply to: