Re: firewalls (was: ipchains)
On Wed, Jan 29, 2003 at 12:25:52PM +0300, Victor Wagner wrote:
> А зачем писать их все руками?
>
> В конце концов, это обычные юниксовые команды, вызывающиеся из
> shell-овского скрипта.
>
> Я генерирую из биллинговой базы файлик вида
>
> block такой-то-IP
> allow такoй-то-IP smtp socks
> disallow такой-то-IP http
>
> После чего этот файлик включается командой source в скрипт инициализации
> файрволла. А в том определены shell-функции block, allow, disallow etc.
>
> Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг
> зачем-то понадобилось перегрузить машину с 2.2 ядром.
>
> Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или
> 2.4 определит другие функции.
а зачем нужна биллинговая база в простых случаях? особенно на машине где
откат на 2.2 не предполагается.
>
>
> > Конфиг кидается в /etc, перестраиваем firewall только руками (генерим,
> > проверяем, запускаем, сохраняем), а для woody используем /etc/init.d/iptables
> > load/save :)
>
> А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и
> последовал его совету - не использовать, а использовать что-нибудь
> другое. В данном случае развил свой старый /etc/init.d/firewall
>
> Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
> инструментов вполне себе входит.
ВМЕСТЕ. /etc/init.d/iptables оперирует конфигурациями в своем формате, а
ferm транслирует эти конфигурации со своего 'ЯВУ'
--
A: No
Q: Should I quote below my post?
Good luck! /AKA Druid
Reply to: