Artem Chuprina wrote:
Sergej Kandyla -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008 13:05:09 +0200: SK> - получаем возможность руками редактировать скрипт + в случае ошибки имеем SK> только одно не загруженное правило а не весь фаервол. ... и хорошо, если нам повезло, и ошибка была в запрещающем правиле. А иначе мы отрываем задницу от стула и пилим к консоли сервера на другой конец города...
;)для этого структуру фаервола проектировать правильно надо...и тогда все будет ок.
И вообще дефолтный дроп - зло.
Хинт: результат работы iptables-save никто редактировать руками не запрещает.
Последствия, криво отредактированного руками, iptables-save куда плачевнее.PS. еще раз тихо скажу "имхо" ;) Если вам нравится iptables-save\restore - Ради Бога.
Важен результат, а не методы.