Re: Генератор правил файрвола

[Oleg Frolkov <info@of.pp.ru>]

Pavel V. Rochnyack пишет:

[axed]
> Я как-то слегка новичок в мире Debian, и мне интересно:
> 1. Что же такого кривого было в скрипте?
Фиг знает....
> 2. Почему кривизну не правят, а удаляют ?
А смысл?
> 3. Почему pre-up и post-down считается универсальным лекарством - мне 
> кажется что на рутере, например, это слегка "не вариант", или дебиан 
> жестко нацелился на desktop и на всё остальное ему абсолютно поровну ?
Как раз на десктопе проще service iptables save/restore. Если тебе так 
хочется именно команды service - так не сложно написать
шел скрипт ну хотябы типа: На роутере это как раз идеальный вариант. 
Роутинг каждого интерфейса прописывается тут-же в описании интерфейса.

#!/bin/sh
/etc/init.d/$1 $2 $3 $4 $5 $6 $7 $8 $9

и назвать его service.....

Что касается pre-up и т.д. то по мне это более универсальное решение 
позволяющее все что нужно сделать с сетью - делать изнутри единственного 
конфиг файла /etc/network/interfaces а не из кучи файлов в 
/etc/sysconfig как это делается в той-же шапке.
Видя файл interfaces я прекрасно понимаю как настроена сеть на конкретно 
этом компьютере включая и бриджи и vlanы и
роутинги и настройки сетевушки.

Загрузка правил iptables решается так:

# The loopback network interface
auto lo
iface lo inet loopback
pre-up iptables-restore /etc/network/iptables.rules

А сохранение этих правил решается строчкой:

iptables-save >/etc/network/iptables.rules

В конце твоего скрипта инициализации iptables или в отдельном скрипте на 
одну строчку лежащем там-же где и
скрипт файрволла.... ну или назови как хочешь и положи в ~/bin указав 
его в своих путях.

Честно говоря после red-hat based дистрибутивов мне очень понравилась 
идеология debian. Сейчас когда приходится
ковыряться с redhat-based - настоящий кошмар, куча файлов, постоянно 
перепрыгивать чтобы законфигурить.
Настройки интерфейса в одном месте, настройки роутинга в другом, и.т.д.....

> PS: тема для отдельной ветки: Может быть кто прокомментирует, почему в 
> штатном варианте установки (логирование через syslog) ротирование 
> логов производится через отдельный (перловый по-моему) скрипт, который 
> не возможно ни штатно отключить, ни настроить периоды ротации, а не 
> через logrotate ? Опять костыли, наподобие
Фиг знает.... а поставить syslog-ng из репозитария религия не позволяет? 
Или я не о том?
> > вместо него [/etc/init.d/iptables] рекомендуется пользоваться командами 
> ... или написать самостоятельный скрипт
>
> ?
Ага... скрипт вызывающий iptables-save как было показано выше.


Олег.