[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debian i iptables

Jak podają anonimowe źródła, przepowiedziano, że Mariusz Ufnal napisze:

> > > > I załadowanie regułek firewalla PO podniesieniu interfejsów
> > > > sieciowych? Dziękuję bardzo. 
> > > No to możesz przed -- katalog /etc/network/if-pre-up.d.
> > > Chodziło tylko o ideę, żeby konfiguracja sieci była w jednym miejscu.
> > Dodaj do tego /etc/ppp/ip-up.d/ i będzie już w trzech miejscach.
> Możliwości wpisania reguł firewalla i jego uruchamiania jest wiele, ale
> przyglądając się skryptom dostarczanym przez dystrybucję dochodzę do
> wniosku że regułki winny być umieszczone tak jak poradził mi tu ktoś
> wcześniej ( a tak to zrozumiałem ) w /etc/defaults/iptables, a start
> powinien odbywać się za pomocą skryptu w /etc/init.d/iptables.

Źle zrozumiałeś. Powinieneś się był chyba zorientować po zawartości
tego pliku, tym bardziej tej części gdzie napisane zostało jak działa 
i jak konfigurować /etc/init.d/iptables

>  To wszystko myślę upraszcza konfigurację systemu i daje oczywiście
> możliwość lepszego zarządzania firewallem ( np. możliwość szybkiego
> restartu iptables bez ruszania interfejsów ).

To prawda, ale /etc/init.d/iptables wykorzystuje zapisywanie stanu
tabelek i odtwarza ten stan przy każdym starcie. Wykonywanie zmian
w fw jest wtedy trudne. Ogólnie rzecz biorąc ta metoda ma tyle wad,
że sam autor /etc/init.d/iptables odradza jej stosowanie.

> Myślę też że pisanie
> dodatkowych skryptów po za specyficznymi wymaganiami, tylko
> niepotrzebnie wprowadza pewien nieład w systemie. 

mkdir -p /etc/init.d/moje_skrypty 
vim /etc/init.d/moje_skrypty/fw
ln -s /etc/init.d/moje_skrypty/fw /etc/init.d/fw

straszny nieład... Szczególnie utrudnia przeprowadzkę systemu. Nie
to, co szukanie regułek po /var/lib/iptables


W połączeniu z /etc/network/if-up.d i /etc/ppp/ip-up.d
możesz sobie zbudować elastyczny fw., coś w stylu:

/etc/init.d/moje_skrypty/fw:
----------------------------
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -N inok
iptables -A inok -i lo -j ACCEPT
iptables -A INPUT -j inok
iptables -A INPUT -j DROP

/etc/network/if-up.d/fw
-----------------------
iptables -A inok -i $IFACE -s $ADDRFAM -j ACCEPT

/etc/network/if-down.d/fw
-------------------------
iptables -D inok -i $IFACE -s $ADDRFAM -j ACCEPT


man 5 interfaces
man 8 iptables
less /etc/default/iptables
update-rc.d --help

> No i co wtedy z
> programami które odwołują się do standardowych skryptów w systemie ( np.
> jakaś nakładka graficzna na firewall )

Po co ci graficzna nakładka na fw? Co ona ma robić w przypadku, kiedy
ten fw sam wcześniej napiszesz? Nie żartuj sobie.

Pozdrawiam

-- 
Jacek Kawa  **Kto chce niech wraca do portu, ja nie wrócę do normy**
Reply to: