13.05.2012 18:42, Victor Wagner пишет: > > VW> iptables-save/iptables-restore. > > VW> Кто что посоветует? > > Вот их и посоветую. При смене конфига на ходу я еще использую > iptables-apply. > Мне этот вариант не нравится тем, что формат конфига не ориентирован > на удобочитаемость. > > Даже самопальный шелльный скрипт с четочку продуманной системой > переменных для подсеией и интерфейсов и активным использованием циклов > получаеися намного обозримей. Можно же сделать кучу таблиц и добавлять нужные правила туда, предварительно сославшись. Например так: :SSH - [0:0] :USR1-IN - [0:0] :USR1-OUT - [0:0] -A INPUT -p tcp --dport 22 -j SSH -A INPUT -p tcp --dport 22 -j DROP -A FORWARD -i eth1 -j USR1-OUT -A FORWARD -i eth1 -j DROP -A FORWARD -o eth1 -j USR1-IN -A FORWARD -o eth1 -j DROP -A SSH -s 1.2.3.4 -j ACCEPT -A SSH -s 4.3.2.1 -j ACCEPT -A USR1-OUT -d 8.8.8.8 -j DROP -A USR1-OUT -s 1.2.3.0/24 -j ACCEPT -A USR1-IN -d 1.2.3.0/24 -j ACCEPT А зачем там циклы я затрудняюсь придумать. -- Best regards, Mikhail - WWW: http://www.antmix.pp.ru/ XMPP: antmix@stopicq.ru
Attachment:
signature.asc
Description: OpenPGP digital signature