Alexander GQ Gerasiov wrote:
Общая логика: 1)правила файрвола - свойство интерфейса, а не системы.
Это не так. iptables создает хуки и обрабатывает пакеты по мере прохождения их через сетевой стэк (подсистему ядра), таким образом правила являются свойствами "системы", а не сетевого интерфейса. Имена интерфейсов могут использоваться в правилах, а могут и не использоваться, это заранее неясно. Поэтому правила надо применять после того, как активированы все интерфейсы. Однако, это не оправдывает полный отказ от стандартного rc-скрипта.
2)правила должны добавляться сразу, как активирован интерфейс, а не "когда-то в более позднем rc скрипте"
Грамотным решением являлся бы старт rc-скрипта с правилами сразу после через post-up в /etc/network/interfaces, без символьных ссылок в rc?.d.
post-up /etc/init.d/firewall start