Re: Конфигуратор файрволла
>>>>> Mikhail A Antonov <bart@solarnet.ru> writes:
>>>>> 14.05.2012 12:31, Ivan Shmakov пишет:
>>>> iptables-save/iptables-restore.
>>>> Кто что посоветует?
>>> Вот их и посоветую.
>> Вариант Shell-кода для /etc/init.d/, вызывающий
>> ip6tables-restore(8) и iptables-restore(8) (но не *-save.)
> Зачем? Есть же pre-up в interfaces.
pre-up выполняются перед поднятием того конкретного интерфейса,
к которому они относятся. Напротив, конфигурация iptables —
общая для всех интерфейсов.
На практике, использование pre-up на конкретном интерфейсе
оставляет некоторый риск того, что -restore будут запущены перед
поднятием этого интерфейса, но /после/ поднятия некоторого
другого. (Или же ifupdown дает какие-либо гарантии относительно
порядка поднятия auto-интерфейсов при запуске системы?)
Использование pre-up (с идентичными -restore-командами) на всех
интерфейсах неудобно тем, что команда -restore может выполнится
«неожиданно» — при переконфигурировании интерфейса (ifdown &&
vim && ifup), подключении сетевого устройства, отмеченного как
allow-hotplug, etc. — возможно, после правки «рабочей»
конфигурации (# ip6tables -A, etc.), но перед правкой
загружаемых командами -restore файлов.
Напротив, код, размещенный в init.d/, будет автоматически
исполнен единожды, при запуске системы; все последующие вызовы
-restore произойдут исключительно по явному # service … start.
--
FSF associate member #7257
Reply to: