Re: как правильно загружать правила iptables
В Чтв, 28/02/2008 в 14:21 +0300, Artem Chuprina пишет:
> Stanislav Kruchinin -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008 13:54:33 +0300:
>
> >> Общая логика: 1)правила файрвола - свойство интерфейса, а не системы.
>
> SK> Это не так. iptables создает хуки и обрабатывает пакеты по мере
> SK> прохождения их через сетевой стэк (подсистему ядра), таким образом
> SK> правила являются свойствами "системы", а не сетевого
> SK> интерфейса. Имена интерфейсов могут использоваться в правилах, а
> SK> могут и не использоваться, это заранее неясно. Поэтому правила надо
> SK> применять после того, как активированы все интерфейсы. Однако, это
> SK> не оправдывает полный отказ от стандартного rc-скрипта.
>
> Правила надо применять ДО того, как подняты все интерфейсы. Поэтому,
> кстати, ничто не мешает поднимать их в up-скрипте интерфейса lo. Он
> поднимается первым.
Я бы сказал так:
1. Почти всегда есть статический набор правил не (не сильно) зависящий
от возможных динамических имён интерфейсов. Такие правила лучше
вставлять при загрузке через /etc/init.d/iptables start посредством
iptables-restore < /etc/iptables/iptables_rules.boot.
2. Динамические правила, в том числе правила зависящие от имени (или
других параметров) интерфейса, которые заранее не известны лучше
подгружать/удалять сразу перед/после поднятием/опусканием интерфейса
через /etc/network/interfaces (pre-up/post-down) посредством
скриптов /etc/iptables/*.[up|down].
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: