Re: Генератор правил файрвола
Я рассуждаю с точки зрения применения Debian в качестве ОС для сервера.
А для статических - iptables-restore в pre-up написать в /etc/network/interfaces
на интерфейс lo.
А потом всегда уточнять, а в какой конф-файл я или кто-то другой обычно
сохраняет правила файрволла на _этой_ системе ?
Например:
#iptables -nvL INPUT
#iptables -I INPUT position -s host -p tcp --dport port -j ACCEPT
#service iptables save
Это всё что нужно знать для совершения действия, и не надо бегать по
файлу interfaces собирая информацию о том,
в каких файлах меняется конфиг файрволла для добавления одного-двух
правил в файрволл системы.
Единая точка сохранения состояния файрволла, общая для всех систем.
Удобство администрирования, хорошая стандартизированность,
легче перевести систему из одного состояния в другое, за меньшее число
операций (сколько их потребуется для pre-up можете подсчитать сами).
Также, например, у меня скрипты есть которые файрволл изменяют - в них
мне проще замыкаться не на имя файла, а на имя сервиса.
Mikhail A Antonov пишет:
,------[Pavel V. Rochnyack 05/06/2008 09:39 (GMT +3)
| Для динамических интерфейсов может оказаться удобнее postup,
| для набора статических интерфейсов удобнее будет статический редко
| изменяющийся файрволл, запускающийся вместе с системой.
`-----------------
А для статических - iptables-restore в pre-up написать в /etc/network/interfaces
на интерфейс lo.
Пример {
# The loopback network interface
auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore /etc/iptables-startup.conf
}
И никаких лишних сущностей.
Reply to: