Re: Генератор правил файрвола
Wednesday 04 June 2008 09:06:04 Oleg Frolkov написав:
> P.P.S. Использую я его в режиме генерации скрипта, а потом скрипт
> исполняю, в режиме самостоятельного
> применения правил не использую... и в автозагрузку тоже не ставлю...
А ferm --fast ferm.conf - пробовал? Я всегда так запускаю.
При этом он генерит правила в формате iptables-save и запускает iptables-
restore. дырки в защите вроде не будет.
А свои динамические цепочки я думал делать что-то вроде:
table filter {
chain INPUT {
inteface $INET {
@include 'blacklist.ferm';
}
}
}
Скрипт модификации правил будет выглядеть примерно так:
#...
echo "saddr $banned_IP DROP;" >blacklist.ferm
ferm --fast /etc/ferm/ferm.conf
#...
(Ну примерно так, я ж не знаю твоей задачи)
Или так:
table nat {
chain POSTROUTING {
outerface ppp0 SNAT to-source $PPP_ADDR;
}
}
а в /etc/ppp/ip-up.d/ferm :
ferm --fast --def '$PPP_ADDR=$4' /etc/ferm/ferm.conf
Это тоже довольно абстрактный пример.
ps: результат генерирования правил ferm-ом я иногда смотрю, но ещё ни разу на
его глюки не попадал.
Reply to: