Re: Конфигуратор файрволла
On 2012.05.13 at 16:06:50 +0400, Artem Chuprina wrote:
> Victor Wagner -> debian-russian@lists.debian.org @ Sun, 13 May 2012 15:18:56 +0400:
>
> VW> Вообще, как я посмотрел, большинство из перечисленных на данной
> VW> страничке пакетов содержат свой скрипт в /etc/init.d. В то время как
> VW> казалось бы более правильное место для конфигурирования файрволла - это
> VW> post-up скрипт внешнего интерфейса. Опять же в момент post-up выданный
> VW> провайдером IP-адрес уже известен и может быть использован.
>
> Знаешь, я бы сказал, что в post-up уже поздно. Хотя если в pre-up
> закрыть всё, кроме DHCP, то можно.
Вполне вариант. Главное еще ip_forward запретить
> Но вообще я таки считаю, что конфигурация файрвола должна быть одна, и
> грузиться она должна до подъема lo. Другое дело, что после
> передергивания внешнего интерфейса ее можно перегружать, учитывая новый
> адрес - но мне ни разу не приходилось оказываться в ситуации, когда при
> динамическом адресе на внешнем интерфейсе этот адрес зачем-то нужно было
> знать для конфигурации файрвола. iptables позволяет обойтись без этого
> знания.
В общем-то обойтись можно.
> VW> iptables-save/iptables-restore.
>
> VW> Кто что посоветует?
>
> Вот их и посоветую. При смене конфига на ходу я еще использую
> iptables-apply.
Мне этот вариант не нравится тем, что формат конфига не ориентирован
на удобочитаемость.
Даже самопальный шелльный скрипт с четочку продуманной системой
переменных для подсеией и интерфейсов и активным использованием циклов
получаеися намного обозримей.
А шелльная надстройка над которой думали много людей должна быть еще
лучше.
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 874nrki8th.fsf@wizzle.ran.pp.ru">http://lists.debian.org/[🔎] 874nrki8th.fsf@wizzle.ran.pp.ru
>
Reply to: