Re: Генератор правил файрвола
Pavel V. Rochnyack пишет:
[axed]
Я как-то слегка новичок в мире Debian, и мне интересно:
1. Что же такого кривого было в скрипте?
Фиг знает....
2. Почему кривизну не правят, а удаляют ?
А смысл?
3. Почему pre-up и post-down считается универсальным лекарством - мне
кажется что на рутере, например, это слегка "не вариант", или дебиан
жестко нацелился на desktop и на всё остальное ему абсолютно поровну ?
Как раз на десктопе проще service iptables save/restore. Если тебе так
хочется именно команды service - так не сложно написать
шел скрипт ну хотябы типа: На роутере это как раз идеальный вариант.
Роутинг каждого интерфейса прописывается тут-же в описании интерфейса.
#!/bin/sh
/etc/init.d/$1 $2 $3 $4 $5 $6 $7 $8 $9
и назвать его service.....
Что касается pre-up и т.д. то по мне это более универсальное решение
позволяющее все что нужно сделать с сетью - делать изнутри единственного
конфиг файла /etc/network/interfaces а не из кучи файлов в
/etc/sysconfig как это делается в той-же шапке.
Видя файл interfaces я прекрасно понимаю как настроена сеть на конкретно
этом компьютере включая и бриджи и vlanы и
роутинги и настройки сетевушки.
Загрузка правил iptables решается так:
# The loopback network interface
auto lo
iface lo inet loopback
pre-up iptables-restore /etc/network/iptables.rules
А сохранение этих правил решается строчкой:
iptables-save >/etc/network/iptables.rules
В конце твоего скрипта инициализации iptables или в отдельном скрипте на
одну строчку лежащем там-же где и
скрипт файрволла.... ну или назови как хочешь и положи в ~/bin указав
его в своих путях.
Честно говоря после red-hat based дистрибутивов мне очень понравилась
идеология debian. Сейчас когда приходится
ковыряться с redhat-based - настоящий кошмар, куча файлов, постоянно
перепрыгивать чтобы законфигурить.
Настройки интерфейса в одном месте, настройки роутинга в другом, и.т.д.....
PS: тема для отдельной ветки: Может быть кто прокомментирует, почему в
штатном варианте установки (логирование через syslog) ротирование
логов производится через отдельный (перловый по-моему) скрипт, который
не возможно ни штатно отключить, ни настроить периоды ротации, а не
через logrotate ? Опять костыли, наподобие
Фиг знает.... а поставить syslog-ng из репозитария религия не позволяет?
Или я не о том?
вместо него [/etc/init.d/iptables] рекомендуется пользоваться командами
... или написать самостоятельный скрипт
?
Ага... скрипт вызывающий iptables-save как было показано выше.
Олег.
Reply to: