Mikhail Solovyev wrote:
Хмм, оригинально. То есть предлагается руками написать файлы вида iptables -t xx -A xxx bla-bla-bla (повторить N раз) и положить куда-нибудь туда? раньше явно удобнее было..А не подскажете ссылку на документацию, где сказано, почему отказались от старого способа и решили перейти на такой?
Мне очень понравилось высказывание сдесь http://debian-russian.org/debian-faq/networking/kak-sdelat-avtozapusk-fairvolla-kuda-delsya-etc-init-d-iptables/etc/init.d/iptables был убран из пакета iptables в версии 1.2.7-8 (с 07.12.2002 в unstable) за кривизну, несовместимую с жизнью.
Лично я написал скрипты по аналогу с BSD ipfw и добавил в обычный стартап. - интуитивно понятней- получаем возможность руками редактировать скрипт + в случае ошибки имеем только одно не загруженное правило а не весь фаервол.
- простота разветки - простота поддержки - возможность динамической генерации подсекций конфига. это все имхо разумеется ;)
Dmitry E. Oboukhov пишет:В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали. Понятно, что можно до бесконечности таскать за собой тот старый скрипт, но всё же интересно, чем руководствовались разработчики, когда его убирали, и как теперь правильно делать.а его тоже надо из up/down /etc/network/interfaces грузить или из соответствующих каталогов :)