Re: Генератор правил файрвола
В Чтв, 05/06/2008 в 19:05 +0700, Pavel V. Rochnyack пишет:
> Насколько часто вы делаете ifup ifdown на маршрутизаторах или серверах ?
> Насколько часто вы изменяете правила файрволла ?
>
> Mikhail A Antonov пишет:
> > ,------[Pavel V. Rochnyack 05/06/2008 15:37 (GMT +3)
> > | Лично у меня примерно в районе rc.local, примерно так:
> > |
> > | --- cut here ---
> > | --- cut here ---
> > | А у Вас ?
> > `-----------------
> > Как ни странно, в тех же interfaces в простых случаях.
> > В случаях, похожих на указанный (если количество команд не влезает в одну строку
> > через ";") - отдельным скриптиком, который вызывается при ifup/ifdown :-)
> > rc.local совсем не для этого придумывали. А вот что будет если в твоей
> > конфигурации сделать ifdown <любой интерфейс> а потом ifup-нуть его?
> > А правильно - роутинг-то и слетит нафиг.
> >
> >
> Т.е. вы предлагаете подробить мой скрипт на части и попривязывать их в
> соответствии с влияющим интерфейсом ?
> А не запутаетесь ли ?
Если, как в случае ethernet без dhcp, ничего при поднятии/опускании не
меняется, лучше в /etc/init.d скриптом при загрузке запускать. Если
меняется, то часть правил надо через /etc/interfaces и /etc/ppp/
запускать.
Лично я разработал внутренний стандарт:
- правила и скрипты файрвола, скрипты ограничения скорости держу
в /etc/iptables
- скрипты маршрутизации в /etc/iproute
- файлы описания наборов ipset в /etc/ipset (/etc/ipset/ipsets
и /etc/ipset/ipset.d/*) под самописный /etc/init.d/ipset {start|stop|
reload}
- основной статический костяк правил загружается при загрузке системы
через /etc/init.d (iptables-restore)
- динамические правила подгружаются из /etc/interfaces и /etc/ppp/ и ещё
откуда надо (iptables)
- в одном месте в одно время из крона инициировалось изменение
маршрутизации (пакет "ночной" или "дневной")
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: