На Thu, 28 Feb 2008 13:54:33 +0300 Stanislav Kruchinin <stanislav.kruchinin@gmail.com> записано: > Alexander GQ Gerasiov wrote: > > Общая логика: > > 1)правила файрвола - свойство интерфейса, а не системы. > > Это не так. iptables создает хуки и обрабатывает пакеты по мере > прохождения их через сетевой стэк (подсистему ядра), таким образом > правила являются свойствами "системы", а не сетевого интерфейса. Да нет же, речь не о том, как оно там внутре устроено. Речь о логике. Если у тебя есть несколько интерфейсов, то (в общем случае) в зависимости от того, какие интерфейсы у тебя подняты/опущены, должны быть установлены разные правила. > > 2)правила должны добавляться сразу, как активирован интерфейс, а не > > "когда-то в более позднем rc скрипте" > > Грамотным решением являлся бы старт rc-скрипта с правилами сразу > после через post-up в /etc/network/interfaces, без символьных ссылок > в rc?.d. post-up /etc/init.d/firewall start На самом деле в pre-up. И не единый /etc/init.d/firewall а per-интерфейс. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: gq@cs.msu.su Jabber: gq@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D
Attachment:
signature.asc
Description: PGP signature