Sylvain Sauvage a écrit :
Je pense que Thomas voulait parler du fait que les scripts dans /etc/*/*.d ne sont lancés qu'après la réussite de la configuration des interfaces. On risque donc d'avoir des règles iptables générales qui ne seraient pas activées si elles sont reliées à la configuration particulière d'une interface (plutôt dans /etc/ppp/*.d, puisque les scripts dans /etc/network/*.d servent pour toutes).
Ce serait AMHA une mauvaise idée de confier la création de règles générales à un de ces scripts. Je m'explique. Dans l'hypothèse où leur création est liée à l'activation d'une interface particulière, elles ne sont pas chargées si cette interface ne monte pas, ce qui est tout de même gênant pour des règles générales. Dans l'hypothèse contraire, ces règles sont créées à chaque fois que le script est exécuté, c'est-à-dire à chaque fois qu'une interface monte, et sont donc dupliquées autant de fois qu'il y a d'interfaces actives, ce qui n'est pas très propre.
AMHA il faut quand même qu'il y ait un script de démarrage, exécuté une fois avant le démarrage du réseau indépendamment des interfaces montées, qui réinitialise les chaînes, règle les politiques par défaut, crée les chaînes utilisateur fixes et les règles générales, etc.