Re: загрузка правил iptables
Alexey Boyko - debian-russian@lists.debian.org @ Sun, 1 Mar 2009 00:18:19 +0200: Мне первое читать проще. А вам? А мне представляется, что это неправильное правило. AB которое правило неправильное? Одинаковая политика для INPUT и OUTPUT :-) Ну и да, я бы предпочел генератор файла для iptables-restore. Который все или ничего. AB Да. ferm грузит правила через iptables-restore Это хорошо. Если он еще и функциональность iptables-apply умеет, то совсем неплохо. Не ослабляет - это если есть обратная трансляция. Если любое выражение на iptables можно перевести в выражение на ferm. По крайней мере - не усложняя восприятие при этом. AB Можно. А это утверждение где-нибудь обосновывается? А как насчет path-o-matic'ов всяких (ну, дополнений к функциональности файрвола - в том числе и добавляющих новые параметры к iptables)? Синтаксис iptables жует эти дополнения by design, а что с ними ferm делает? -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru Historically, languages designed for other people to use have been bad: Cobol, PL/I, Pascal, Ada, C++. The good languages have been those that were designed for their own creators: C, Perl, Smalltalk, Lisp. -- Paul Graham -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
В Суб, 28/02/2009 в 20:40 +0200, Alexey Boyko пишет: On Friday 27 February 2009 16:28:29 Покотиленко Костик wrote: Потому как в моих файрволах мне не видно, что можно заметно улучшить в языке, не ослабляя выразительных возможностей... Это не реально. В элементарной ситуации может ferm и проще, Не только в элементарной. но в боевых условиях в итоге придётся 2 инструмента изучать. Ситуация быстро сведётся к такой задаче: Как заставить ferm сделать так, чтобы в iptables получить Сначала man ferm. Зачем? C iptables я на ты общаюсь. С ferm для меня проще не будет какой хороший он бы не был. Лично мне нравится когда я точно знаю что я делаю и что из этого получится. Хоть iptables и нуждается в упрощении, но это делается средствами ipset, СLASSIFY и т.д. Средства типа ferm больше подходят для начинающих, которые не желают сразу нырять в то, как это действительно устроенно. Также, лично мне кажется, что использование подобных инструментов вредно для людей стремящихся стать специалистами в этой области, т.к. они скрывают реальное положение вещей, с провоцируют появление нюансов, недоразумению и разочарований. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
On Monday 02 March 2009 12:36:34 Покотиленко Костик wrote: Средства типа ferm больше подходят для начинающих, которые не желают сразу нырять в то, как это действительно устроенно. Для начинающих ferm не подойдёт. Он не позволяет не знать как оно действительно устроено. Также, лично мне кажется, что использование подобных инструментов вредно для людей стремящихся стать специалистами в этой области, т.к. они скрывают реальное положение вещей, с провоцируют появление нюансов, недоразумению и разочарований. Дальше пересказывать man ferm мне не интересно.
Re: загрузка правил iptables
On Monday 02 March 2009 10:29:20 Artem Chuprina wrote: А мне представляется, что это неправильное правило. AB которое правило неправильное? Одинаковая политика для INPUT и OUTPUT :-) Ну это лишь пример. Могу выслать свои конфиги для обзора, если интересно. Это хорошо. Если он еще и функциональность iptables-apply умеет, то совсем неплохо. Не умеет. Синтаксис своего конфига он проверяет, но откатывать по таймауту не умеет. Нужно обёртку делать. А это утверждение где-нибудь обосновывается? Нет. Ну, считать и преобразовать iptables-save в ferm.conf точно можно, только сам по себе он не станет от этого читабельнее. Ситуция примерно как с дизассемблерами. Тулзы такой не встречал, видимо никому не нужно было такое. А как насчет path-o-matic'ов всяких (ну, дополнений к функциональности файрвола - в том числе и добавляющих новые параметры к iptables)? Синтаксис iptables жует эти дополнения by design, а что с ними ferm делает? ferm уже поддерживает некоторые patch-o-matic расширения. Разумеется с непатченными iptables они работать не будут. С новыми расширениями, неизвестными ferm такой финт не получится.
Re: загрузка правил iptables
On Sunday 01 March 2009 01:36:11 Nicholas wrote: ferm не переставляет порядок правил. с чего вы такое взяли? Но и не делает его более очевидным. Обычно делает. Не вижу в ferm ограничений на количество IP-адресов. Месседж в том, что если есть много ip и правила разные - их все равно придется описывать отдельно, а если один - то все и так просто. Я не понял. Приведите пример. Зачем усложнять ситуацию дополнительным уровнем обстракции ? (риторический вопрос) Незачем. А упрощать ситуацию можно? Зафиксирую частное, не обязательно верное, мнение: правила iptables имеют замечательный синтаксис, и лучше всего изучать напрямую их - и проще и надежней и лучше разберетесь как все работает. Потом, если Да. А потом ferm. Я так и сказал в первом сообщении. Кстати для TC доже есть доп. уровень обстракции - tcng Traffic Control - Next Generation - Create a more user-friendly configuration language. и тоже не очень популярный - писать правила напрямую для TC, imho, удобнее. Да. tc потому и удобнее, что в tcng проявились всякие описанные вами недостатки. tc и так не сильно простой, так ещё пришлось долго понимать как tcng транслируется в tc. В общем я ниасилил tcng.
Re: загрузка правил iptables
On Friday 27 February 2009 11:40:46 Artem Chuprina wrote: AB А я бы не придумал лучше. ferm дишь транслирует правила с некого AB иерархического языка на язык таблиц iptables. по сути ferm то же AB самое, что и iptables, но позволяет групировать правила по общим AB полям. можно на шелле делать также, только язык ferm красивее шелла Эээ... А (поскольку мне, в общем, лениво читать доку на то, что мне вроде как не необходимо) можно привести _реальный_ пример, где ferm, по твоему мнению, выигрывает у прямого применения iptables? Пример из хелпа по ferm: текст chain (INPUT OUTPUT) { proto (udp tcp) ACCEPT; } разворачивается им в: iptables -A INPUT -p tcp -j ACCEPT iptables -A OUTPUT -p tcp -j ACCEPT iptables -A INPUT -p udp -j ACCEPT iptables -A OUTPUT -p udp -j ACCEPT Мне первое читать проще. А вам? Подобные сокращения он может делать и в других местах. table filter { chain INPUT { policy DROP; mod state state INVALID DROP; mod state state (ESTABLISHED RELATED) ACCEPT; interface lo ACCEPT; proto icmp ACCEPT; proto tcp dport (ssh smtp ftp http) ACCEPT; } } разворачивается в: iptables -A INPUT -P DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT Лично мне первый вариант читать проще. Потому как в моих файрволах мне не видно, что можно заметно улучшить в языке, не ослабляя выразительных возможностей... Надеюсь приведённых примеров хватит, чтобы сделать вывод. Выразительных возможностей ferm нисколько не ослабляет, так как весь его язык однозначно транслируется в iptables.
Re: загрузка правил iptables
On Friday 27 February 2009 16:28:29 Покотиленко Костик wrote: Потому как в моих файрволах мне не видно, что можно заметно улучшить в языке, не ослабляя выразительных возможностей... Это не реально. В элементарной ситуации может ferm и проще, Не только в элементарной. но в боевых условиях в итоге придётся 2 инструмента изучать. Ситуация быстро сведётся к такой задаче: Как заставить ferm сделать так, чтобы в iptables получить Сначала man ferm.
Re: загрузка правил iptables
28 февраля 2009 г. 21:37 пользователь Alexey Boyko ale...@boyko.km.ua написал: AB А я бы не придумал лучше. ferm дишь транслирует правила с некого AB иерархического языка на язык таблиц iptables. по сути ferm то же AB самое, что и iptables, но позволяет групировать правила по общим AB полям. можно на шелле делать также, только язык ferm красивее шелла Эээ... А (поскольку мне, в общем, лениво читать доку на то, что мне вроде как не необходимо) можно привести _реальный_ пример, где ferm, по твоему мнению, выигрывает у прямого применения iptables? Пример из хелпа по ferm: текст chain (INPUT OUTPUT) { proto (udp tcp) ACCEPT; } разворачивается им в: iptables -A INPUT -p tcp -j ACCEPT iptables -A OUTPUT -p tcp -j ACCEPT iptables -A INPUT -p udp -j ACCEPT iptables -A OUTPUT -p udp -j ACCEPT Мне первое читать проще. А вам? А мне представляется, что это неправильное правило. Подобные сокращения он может делать и в других местах. table filter { chain INPUT { policy DROP; mod state state INVALID DROP; mod state state (ESTABLISHED RELATED) ACCEPT; interface lo ACCEPT; proto icmp ACCEPT; proto tcp dport (ssh smtp ftp http) ACCEPT; } } разворачивается в: iptables -A INPUT -P DROP iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT Лично мне первый вариант читать проще. Полезного тут только разворачивание списка портов в несколько отдельных команд. Но читать мне как раз удобнее вариант с прямыми командами - в варианте ferm трудно разобрать, где что (где предикат, где его параметры). Ну и да, я бы предпочел генератор файла для iptables-restore. Который все или ничего. Потому как в моих файрволах мне не видно, что можно заметно улучшить в языке, не ослабляя выразительных возможностей... Надеюсь приведённых примеров хватит, чтобы сделать вывод. Угу. Вывод: оно мне не полезно. Выразительных возможностей ferm нисколько не ослабляет, так как весь его язык однозначно транслируется в iptables. Не ослабляет - это если есть обратная трансляция. Если любое выражение на iptables можно перевести в выражение на ferm. По крайней мере - не усложняя восприятие при этом.
Re: загрузка правил iptables
Alexey Boyko wrote: Пример из хелпа по ferm: текст chain (INPUT OUTPUT) { proto (udp tcp) ACCEPT; } разворачивается им в: iptables -A INPUT -p tcp -j ACCEPT iptables -A OUTPUT -p tcp -j ACCEPT iptables -A INPUT -p udp -j ACCEPT iptables -A OUTPUT -p udp -j ACCEPT Мне первое читать проще. А вам? А мне, например, нет. Обосную: 1. Порядок правил в iptables важен, когда вы их пишете напрямую, вы его видите, у вас есть шанс замучеться сделать определенный порядок через интерпретатор, если будет такая необходимость, да и источник ошибок вы, возможно, сначала будете долго искать. 2. Таблиц может быть много и для разных, достаточно часто, используются разные правила (так что обьединение типа chain (INPUT OUTPUT) не факт что очень поможет). И ip адресов бывает больше чем один - с разными ресурсами и правилами. 3. Вам не надо пытаться эмулировать интерпритатор правил в уме, что бы понять какие реально правила будут в iptables - меньше преобразований - меньше ошибок. 4. Не множте сущности, сверх необходимого. Хотя что-то подобное было у Sendmail - вы писали правила - они интерпретировались в конфиг m4 - конфиг отдавался Sendmail-у, были даже положительные отзывы в сети о таком модходе, но не много. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
On Saturday 28 February 2009 21:25:15 Artem Chuprina wrote: Мне первое читать проще. А вам? А мне представляется, что это неправильное правило. которое правило неправильное? Ну и да, я бы предпочел генератор файла для iptables-restore. Который все или ничего. Да. ferm грузит правила через iptables-restore Не ослабляет - это если есть обратная трансляция. Если любое выражение на iptables можно перевести в выражение на ferm. По крайней мере - не усложняя восприятие при этом. Можно.
Re: загрузка правил iptables
On Saturday 28 February 2009 21:33:07 Nicholas wrote: А мне, например, нет. Обосную: 1. Порядок правил в iptables важен, когда вы их пишете напрямую, вы его видите, у вас есть шанс замучеться сделать определенный порядок через интерпретатор, если будет такая необходимость, да и источник ошибок вы, возможно, сначала будете долго искать. ferm не переставляет порядок правил. с чего вы такое взяли? 2. Таблиц может быть много и для разных, достаточно часто, используются разные правила (так что обьединение типа chain (INPUT OUTPUT) не факт что очень поможет). Если объединение не нужно - то его использовать не надо. Я думал это очевидно. И ip адресов бывает больше чем один - с разными ресурсами и правилами. Не вижу в ferm ограничений на количество IP-адресов. 3. Вам не надо пытаться эмулировать интерпритатор правил в уме, что бы понять какие реально правила будут в iptables - меньше преобразований - меньше ошибок. Не надо эмулировать ferm в уме. Да почитайте же man ferm сначала, прежде чем спорить, а?
Re: загрузка правил iptables
Alexey Boyko wrote: ferm не переставляет порядок правил. с чего вы такое взяли? Но и не делает его более очевидным. Не вижу в ferm ограничений на количество IP-адресов. Месседж в том, что если есть много ip и правила разные - их все равно придется описывать отдельно, а если один - то все и так просто. Зачем усложнять ситуацию дополнительным уровнем обстракции ? (риторический вопрос) Да почитайте же man ferm сначала, прежде чем спорить, а? Чтение документации очень полезное занятие, к сожалению всю ее прочесть сложно - надо давать приоритет самой важной. А надстроек над iptables я уже много видел и тратить время изучение каждой из них - не первоочередная задача - правила iptables и так очень наглядны. Пожалуйста не подумайте, что я говорю что вы делаете неправильно. Мой пост предназначен для тех, кто будет, читая этот топик, решать - какой способ использовать. Зафиксирую частное, не обязательно верное, мнение: правила iptables имеют замечательный синтаксис, и лучше всего изучать напрямую их - и проще и надежней и лучше разберетесь как все работает. Потом, если захотите, сможете использовать любую надстройку, понимая как работает ядро. А вообще, конечно, - больше инструментов, хороших и разных... Удачи. PS Кстати для TC доже есть доп. уровень обстракции - tcng Traffic Control - Next Generation - Create a more user-friendly configuration language. и тоже не очень популярный - писать правила напрямую для TC, imho, удобнее. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
Alexey Boyko - debian-russian@lists.debian.org @ Thu, 26 Feb 2009 22:00:58 +0200: Идеологию iptables я бы не стал идеализировать. Была бы она более вменяема не понадобились бы все эти надстрoйки типа iaif, shorewall, ferm, netscript etc. AB А я бы не придумал лучше. ferm дишь транслирует правила с некого AB иерархического языка на язык таблиц iptables. по сути ferm то же AB самое, что и iptables, но позволяет групировать правила по общим AB полям. можно на шелле делать также, только язык ferm красивее шелла Эээ... А (поскольку мне, в общем, лениво читать доку на то, что мне вроде как не необходимо) можно привести _реальный_ пример, где ferm, по твоему мнению, выигрывает у прямого применения iptables? Потому как в моих файрволах мне не видно, что можно заметно улучшить в языке, не ослабляя выразительных возможностей... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru If it's there and you can see it---it's real If it's not there and you can see it---it's virtual If it's there and you can't see it---it's transparent If it's not there and you can't see it---you erased it! IBM poster explaining virtual memory, circa 1978 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
В Птн, 27/02/2009 в 12:40 +0300, Artem Chuprina пишет: Alexey Boyko - debian-russian@lists.debian.org @ Thu, 26 Feb 2009 22:00:58 +0200: Идеологию iptables я бы не стал идеализировать. Была бы она более вменяема не понадобились бы все эти надстрoйки типа iaif, shorewall, ferm, netscript etc. AB А я бы не придумал лучше. ferm дишь транслирует правила с некого AB иерархического языка на язык таблиц iptables. по сути ferm то же AB самое, что и iptables, но позволяет групировать правила по общим AB полям. можно на шелле делать также, только язык ferm красивее шелла Эээ... А (поскольку мне, в общем, лениво читать доку на то, что мне вроде как не необходимо) можно привести _реальный_ пример, где ferm, по твоему мнению, выигрывает у прямого применения iptables? Потому как в моих файрволах мне не видно, что можно заметно улучшить в языке, не ослабляя выразительных возможностей... Это не реально. В элементарной ситуации может ferm и проще, но в боевых условиях в итоге придётся 2 инструмента изучать. Ситуация быстро сведётся к такой задаче: Как заставить ferm сделать так, чтобы в iptables получить -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
В Птн, 27/02/2009 в 17:49 +0300, Victor Wagner пишет: On 2009.02.27 at 16:28:29 +0200, Покотиленко Костик wrote: вроде как не необходимо) можно привести _реальный_ пример, где ferm, по твоему мнению, выигрывает у прямого применения iptables? Потому как в моих файрволах мне не видно, что можно заметно улучшить в языке, не ослабляя выразительных возможностей... Это не реально. В элементарной ситуации может ferm и проще, но в боевых условиях в итоге придётся 2 инструмента изучать. Ситуация быстро сведётся к такой задаче: Как заставить ferm сделать так, чтобы в iptables получить Ну, вообще говоря это не значит что ferm - инструмент бесполезный. Если умеешь его заставить сделать так, чтобы... это может оказаться удобнее и эффективнее непосредственной работы с таблицами iptables Никто не говорил, что ferm - инструмент бесполезный. Но в сложных задачах лучше сразу сказать iptables что тебе надо, не переводя эту команду с языка оригинала в язык ferm чтоб он его обратно перевёл. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
Max V. Stotsky - debian-russian@lists.debian.org @ Wed, 25 Feb 2009 18:27:04 +0300: всем кто осилил iptables рекомендую ferm. а как-же те, которые осилили ip? молодцы. или ты намекаешь на более высокоуровневую тулзу вместо ip, но с теми же возможностями? Более высокоуровневая тулза это firestarter, но не с теми же возможностями. Отличная штуковина для простых задач. firestarter - это замена утилите ip из пакета iproute ? MVS Прошу прощения.. Не всю ветку читал, думал вы про iptables. :) Дело не в том, что ты не читал всю ветку. Дело в том, что ты не читал то письмо, на которое отвечал. Вся необходимая информация в цитате до сих пор содержится. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru $lotr = $hobbit; # Просто копируем Хоббита $lotr =~ s/Bilbo/Frodo/g; # и легко пишем продолжение. из Camel Book -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
В Срд, 25/02/2009 в 15:51 +0200, Alexey Boyko пишет: On Wednesday 25 February 2009 08:10:43 DamirX wrote: В Втр, 24/02/2009 в 23:26 +0200, Alexey Boyko пишет: всем кто осилил iptables рекомендую ferm. а как-же те, которые осилили ip? молодцы. или ты намекаешь на более высокоуровневую тулзу вместо ip, но с теми же возможностями? не просто с теми-же, а с супер-возможностями. Есть? (про OpenBSD знаю) -- DamirX -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
26 февраля 2009 г. 19:09 пользователь DamirX damir.haki...@gmail.com написал: или ты намекаешь на более высокоуровневую тулзу вместо ip, но с теми же возможностями? не просто с теми-же, а с супер-возможностями. Есть? (про OpenBSD знаю) А что подразумевается под супер-возможностями? Что можно сделать такого на основе ip, чего не умела бы сама ip?
Re: загрузка правил iptables
Shorewall надстройка над фаерволом и шейпером в одном флаконе. DamirX пишет: В Втр, 24/02/2009 в 23:26 +0200, Alexey Boyko пишет: всем кто осилил iptables рекомендую ferm. а как-же те, которые осилили ip? -- DamirX -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
On Thursday 26 February 2009 16:05:55 Maxim wrote: Shorewall надстройка над фаерволом и шейпером в одном флаконе. Не смотрел что у него с шейпером, но идеологию iptables он переиначивает на свой лад. ferm поддерживает все возможности iptables с сохранением идеологии -- xmpp:ale...@boyko.km.ua
Re: загрузка правил iptables
Идеологию iptables я бы не стал идеализировать. Была бы она более вменяема не понадобились бы все эти надстрoйки типа iaif, shorewall, ferm, netscript etc. Alexey Boyko пишет: On Thursday 26 February 2009 16:05:55 Maxim wrote: Shorewall надстройка над фаерволом и шейпером в одном флаконе. Не смотрел что у него с шейпером, но идеологию iptables он переиначивает на свой лад. ferm поддерживает все возможности iptables с сохранением идеологии -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
On Thursday 26 February 2009 17:23:21 Maxim wrote: Идеологию iptables я бы не стал идеализировать. Была бы она более вменяема не понадобились бы все эти надстрoйки типа iaif, shorewall, ferm, netscript etc. А я бы не придумал лучше. ferm дишь транслирует правила с некого иерархического языка на язык таблиц iptables. по сути ferm то же самое, что и iptables, но позволяет групировать правила по общим полям. можно на шелле делать также, только язык ferm красивее шелла
Re: загрузка правил iptables
В Вто, 24/02/2009 в 23:10 +0500, Владимир Ступин пишет: когда машин 5-10 с одной системой - лехко когда их переваливает за не одну сотню - хер упомнишь Так ведь вопрос то не в том, легко или просто, вопрос в том можно или нет и не будет ли это нарушением FSH. Люди разные, привычки и память у всех тоже разные, может человек привык всё своё хранить в /usr/local, так он никогда об этом и не забудет. И вообще скрипт для бэкапа 5-10 машин в идеале должен подправляться сразу же после добавления чего-то ценного на одной из машин, тогда точно не забудешь что-то забэкапить - опять таки вопрос памяти и дициплины. Правильно, если везде делать одинаково, и на 1000 не забудешь. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
В Срд, 25/02/2009 в 13:52 +0300, San_Sanych пишет: Покотиленко Костик пишет: В Вто, 24/02/2009 в 23:10 +0500, Владимир Ступин пишет: когда машин 5-10 с одной системой - лехко когда их переваливает за не одну сотню - хер упомнишь Так ведь вопрос то не в том, легко или просто, вопрос в том можно или нет и не будет ли это нарушением FSH. Люди разные, привычки и память у это и не есть нарушение, и вообще какие нарушения в свободной системе :) всех тоже разные, может человек привык всё своё хранить в /usr/local, так он никогда об этом и не забудет. И вообще скрипт для бэкапа 5-10 машин в идеале должен подправляться сразу же после добавления чего-то ценного на одной из машин, тогда точно не забудешь что-то забэкапить - опять таки вопрос памяти и дициплины. Правильно, если везде делать одинаково, и на 1000 не забудешь. есть еще системы, которые настраивал не сам... свое то конечно настраиваешь согласно собственным правилам :) вот работаю я с полутора сотнями машин на которых rh6.2 давно превратился в слаку :) все делается сообразно правил главного админа, а они не совпадают с моими, приходится адаптироваться и вести записки сумашедшего Ну, если прошлый админ всё делал одинаково, всё же проще. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
On Wednesday 25 February 2009 08:10:43 DamirX wrote: В Втр, 24/02/2009 в 23:26 +0200, Alexey Boyko пишет: всем кто осилил iptables рекомендую ferm. а как-же те, которые осилили ip? молодцы. или ты намекаешь на более высокоуровневую тулзу вместо ip, но с теми же возможностями?
[Offtop:HTB] Было: Re: загрузка правил iptables
В сообщении от Tuesday 24 February 2009 22:00:03 Покотиленко Костик написал(а): Например, есть ограничения скорости HTB, входящая (к клиентам, делится на город и мир), исходящая (в Интернет, делится на город и мир), в iptables ставятся марки, так вот в /etc/iptables/iptables.rules.boot примерно такое: А можно поподробнее про настройку HTB? По какому руководству настраивали? Можно в личную почту. -- Best regards, Sergey Korobitsin Arta Software -- x86 - шутка IBM, которую приняли слишком серьёзно. :) --(linux.org.ru)
Re: загрузка правил iptables
On Wednesday 25 February 2009 16:29:07 Max V. Stotsky wrote: всем кто осилил iptables рекомендую ferm. а как-же те, которые осилили ip? молодцы. или ты намекаешь на более высокоуровневую тулзу вместо ip, но с теми же возможностями? Более высокоуровневая тулза это firestarter, но не с теми же возможностями. Отличная штуковина для простых задач. firestarter - это замена утилите ip из пакета iproute ?
Re: [Offtop:HTB] Было: Re: загрузка правил iptables
On Wednesday 25 February 2009 17:02:03 Сергей Коробицин wrote: А можно поподробнее про настройку HTB? По какому руководству настраивали? Можно в личную почту. если кто-то знает руководство лучше, чем http://lartc.org/ - дайте почитать.
загрузка правил iptables
Доброго времени суток! (с) Несколько вопросов по топику 1. Как правильно загружать правила iptables, все правила в одном файлом при поднятие wan-интерфейса? Или для каждого интерфейса (lo,lan итд) делать отдельный файл с правилами конкретно для него? 2. sh-скрипты с правилами должны находиться в /usr/local/sbin? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
Vladimir Elizarov - Debian-russian @ Tue, 24 Feb 2009 18:20:16 +0300: VE 1. Как правильно загружать правила iptables, все правила в одном VE файлом при поднятие wan-интерфейса? Или для каждого интерфейса VE (lo,lan итд) делать отдельный файл с правилами конкретно для него? Мне еще не встречались ситуации, когда нельзя или неудобно было воспользоваться единым файлом. Несколько файлов представляются менее удобным решением, чем один, и не видно, чем они будут лучше. Особенно - если пользоваться iptables-restore. VE 2. sh-скрипты с правилами должны находиться в /usr/local/sbin? Никто никому ничего не должен. У меня правила (конфиг для iptables-restore) лежат в /etc/network, и маленький обертывающий скрипт - там же. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru Нет применения человеческому разуму! (c)JB -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
В Вто, 24/02/2009 в 18:20 +0300, Vladimir Elizarov пишет: Доброго времени суток! (с) Несколько вопросов по топику 1. Как правильно загружать правила iptables, все правила в одном файлом при поднятие wan-интерфейса? Или для каждого интерфейса (lo,lan итд) делать отдельный файл с правилами конкретно для него? Тут стандарта не существует, каждый делает как ему удобнее. Я пришёл к такому: 1. Все правила разделил на те, которые не зависят от интерфейса и те, которые зависят. 2. Те, которые не зависят (их, по крайней мере в моей задаче, 95%) загружаю из /etc/iptables/iptables.rules.boot с помощью iptables-restore 3. Те, которые зависят загружаю из shell-скриптов /etc/iptables/*_[up_down], которые используют iptables Например, есть ограничения скорости HTB, входящая (к клиентам, делится на город и мир), исходящая (в Интернет, делится на город и мир), в iptables ставятся марки, так вот в /etc/iptables/iptables.rules.boot примерно такое: === ... *mangle :SHAP - [0:0] :SHAP_CLIENT - [0:0] :SHAP_CLIENT_gorod - [0:0] :SHAP_CLIENT_mir - [0:0] :SHAP_INET - [0:0] :SHAP_INET_gor - [0:0] :SHAP_INET_mir - [0:0] -A FORWARD -j SHAP -A SHAP_CLIENT -m set --set gorod_nets src -g SHAP_CLIENT_gorod -A SHAP_CLIENT -g SHAP_CLIENT_mir -A SHAP_INET -m set --set gorod_nets dst -g SHAP_INET_gorod -A SHAP_INET -g SHAP_INET_mir ... === Скрипты при поднятии интерфейсов: Для локалки: === iptables -A SHAP -t mangle -o $IFNAME -j SHAP_CLIENT === Для Интернета: === iptables -A SHAP -t mangle -o $IFNAME -j SHAP_INET === 2. sh-скрипты с правилами должны находиться в /usr/local/sbin? По скольку правила к дистрибутиву отношения никакого не имеют, тут их хранить противопоказано. Лучше в /etc. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
24 февраля 2009 г. 20:20 пользователь Vladimir Elizarov xengelpubl...@gmail.com написал: Доброго времени суток! (с) Несколько вопросов по топику 1. Как правильно загружать правила iptables, все правила в одном файлом при поднятие wan-интерфейса? Или для каждого интерфейса (lo,lan итд) делать отдельный файл с правилами конкретно для него? Я храню единый список правил, созданный iptables-save в файле /etc/network/iptables Загружаю его при поднятии интерфейса lo с помощью iptables-restore. Те правила, которые нельзя добавить в этот скрипт из-за того, что в правилах есть какие-то переменные части, кладу в /etc/network/ip-up.d и /etc/network/ip-down.d, или в /etc/ppp/if-up.d/ и /etc/ppp/if-down.d/, если это PPP-интерфейсы. 2. sh-скрипты с правилами должны находиться в /usr/local/sbin? /usr/local в принципе предназначен для пользовательских программ, установленных не из пакета. Ну вообще-то да, можно.
Re: загрузка правил iptables
В Вто, 24/02/2009 в 18:40 +0200, Dmitry Nezhevenko пишет: On Tue, Feb 24, 2009 at 06:00:03PM +0200, Покотиленко Костик wrote: 2. sh-скрипты с правилами должны находиться в /usr/local/sbin? По скольку правила к дистрибутиву отношения никакого не имеют, тут их хранить противопоказано. Лучше в /etc. /usr/local тоже не должно иметь отношение к дистрибутиву. Во всяком случае к debian :) Да, local проглядел. Но по смыслу те скрипты больше конфиги чем скрипты... -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
Владимир Ступин пишет: 2. sh-скрипты с правилами должны находиться в /usr/local/sbin? /usr/local в принципе предназначен для пользовательских программ, установленных не из пакета. Ну вообще-то да, можно. можно, но потом, например при частичном бэкапе, ну или если поменял свои приоритеты забываешь что туда напихал -- Александр Вайтехович www: http://sanych.nnov.ru e-mail: ssanych[dogi]gmail.com jid: sanych[dogi]sanych.nnov.ru (icq mast die) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
/usr/local в принципе предназначен для пользовательских программ, установленных не из пакета. Ну вообще-то да, можно. можно, но потом, например при частичном бэкапе, ну или если поменял свои приоритеты забываешь что туда напихал Помнить что куда напихано должен само буратино. Если буратино этого не помнит - то он сам себе злобный :) Это же *nix - система тебе ничего не навязывает и считает, что ты сам всё знаешь лучше неё.
Re: загрузка правил iptables
Владимир Ступин пишет: /usr/local в принципе предназначен для пользовательских программ, установленных не из пакета. Ну вообще-то да, можно. можно, но потом, например при частичном бэкапе, ну или если поменял свои приоритеты забываешь что туда напихал Помнить что куда напихано должен само буратино. Если буратино этого не помнит - то он сам себе злобный :) Это же *nix - система тебе ничего не навязывает и считает, что ты сам всё знаешь лучше неё. когда машин 5-10 с одной системой - лехко когда их переваливает за не одну сотню - хер упомнишь -- Александр Вайтехович www: http://sanych.nnov.ru e-mail: ssanych[dogi]gmail.com jid: sanych[dogi]sanych.nnov.ru (icq mast die) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: загрузка правил iptables
когда машин 5-10 с одной системой - лехко когда их переваливает за не одну сотню - хер упомнишь Так ведь вопрос то не в том, легко или просто, вопрос в том можно или нет и не будет ли это нарушением FSH. Люди разные, привычки и память у всех тоже разные, может человек привык всё своё хранить в /usr/local, так он никогда об этом и не забудет. И вообще скрипт для бэкапа 5-10 машин в идеале должен подправляться сразу же после добавления чего-то ценного на одной из машин, тогда точно не забудешь что-то забэкапить - опять таки вопрос памяти и дициплины.
Re: загрузка правил iptables
On Tuesday 24 February 2009 17:20:16 Vladimir Elizarov wrote: Несколько вопросов по топику 1. Как правильно загружать правила iptables, все правила в одном файлом при поднятие wan-интерфейса? Или для каждого интерфейса (lo,lan итд) делать отдельный файл с правилами конкретно для него? 2. sh-скрипты с правилами должны находиться в /usr/local/sbin? всем кто осилил iptables рекомендую ferm. правила у меня лежат в /etc/ferm. в /etc/network/up.d и /etc/ppp/ip-up.d просто передёргиваю ferm ещё раз, он перегружает правила. Если понадобятся какие-то динамические правила, то буду их писать в отдельный файл в синтаксисе ferm, в основном файле их инклудить и опять перегружать ферм.
Re: загрузка правил iptables
В Втр, 24/02/2009 в 23:26 +0200, Alexey Boyko пишет: всем кто осилил iptables рекомендую ferm. а как-же те, которые осилили ip? -- DamirX -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org