Re: как правильно загруж ать правила iptables

2008-02-28 Пенетрантность Mikhail Solovyev 

Хмм, оригинально. То есть предлагается руками написать файлы вида
iptables -t xx -A xxx bla-bla-bla (повторить N раз)
и положить куда-нибудь туда? раньше явно удобнее было..

А не подскажете ссылку на документацию, где сказано, почему отказались 
от старого способа и решили перейти на такой?



Dmitry E. Oboukhov пишет:

В Sarge был скрипт /etc/init.d/iptables, который
замечательно подгружал правила из
/var/lib/iptables/{active,inactive}. А в Etch это убрали.
Понятно, что можно до бесконечности
таскать за собой тот старый скрипт, но
всё же интересно, чем руководствовались
разработчики, когда его убирали, и как
теперь правильно делать.


а его тоже надо из up/down /etc/network/interfaces грузить
или из соответствующих каталогов :)


  



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: как правильно загруж ать правила iptables

2008-02-28 Пенетрантность Ky6uk 

*This message was transferred with a trial version of CommuniGate(r) Pro*
Mikhail Solovyev пишет:

*This message was transferred with a trial version of CommuniGate(r) Pro*
Хмм, оригинально. То есть предлагается руками написать файлы вида
iptables -t xx -A xxx bla-bla-bla (повторить N раз)
и положить куда-нибудь туда? раньше явно удобнее было..

А не подскажете ссылку на документацию, где сказано, почему отказались 
от старого способа и решили перейти на такой?



Dmitry E. Oboukhov пишет:

В Sarge был скрипт /etc/init.d/iptables, который
замечательно подгружал правила из
/var/lib/iptables/{active,inactive}. А в Etch это убрали.
Понятно, что можно до бесконечности
таскать за собой тот старый скрипт, но
всё же интересно, чем руководствовались
разработчики, когда его убирали, и как
теперь правильно делать.


а его тоже надо из up/down /etc/network/interfaces грузить
или из соответствующих каталогов :)


  




Зачем эти файлы писать? iptables-save  file
Затем перед поднятием интерфейса можно iptables-restore file


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: как правильно загруж ать правила iptables

2008-02-28 Пенетрантность Ky6uk 

*This message was transferred with a trial version of CommuniGate(r) Pro*
Dmitry E. Oboukhov пишет:

*This message was transferred with a trial version of CommuniGate(r) Pro*
  

Зачем эти файлы писать? iptables-save  file
Затем перед поднятием интерфейса можно
iptables-restore file


так ведь эти iptables-save iptables-restore откуда вызывать?
как раз из /etc/network/interfaces


Можно и оттуда. Но все цепочки хранятся в одном файле, который и 
скармливается команде iptables-restore перед поднятием интерфейса.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: как правильно загруж ать правила iptables

2008-02-28 Пенетрантность Sergej Kandyla 

Mikhail Solovyev wrote:

Хмм, оригинально. То есть предлагается руками написать файлы вида
iptables -t xx -A xxx bla-bla-bla (повторить N раз)
и положить куда-нибудь туда? раньше явно удобнее было..

А не подскажете ссылку на документацию, где сказано, почему отказались 
от старого способа и решили перейти на такой?



Мне очень понравилось высказывание сдесь

http://debian-russian.org/debian-faq/networking/kak-sdelat-avtozapusk-fairvolla-kuda-delsya-etc-init-d-iptables
/etc/init.d/iptables был убран из пакета iptables в версии 1.2.7-8 (с 
07.12.2002 в unstable) за кривизну, несовместимую с жизнью.


Лично я написал скрипты по аналогу с BSD ipfw и добавил в обычный стартап.
- интуитивно понятней
- получаем возможность руками редактировать скрипт + в случае ошибки 
имеем только одно не загруженное правило а не весь фаервол.

- простота разветки
- простота поддержки
- возможность динамической генерации подсекций конфига.

это все имхо разумеется ;)



Dmitry E. Oboukhov пишет:

В Sarge был скрипт /etc/init.d/iptables, который
замечательно подгружал правила из
/var/lib/iptables/{active,inactive}. А в Etch это убрали.
Понятно, что можно до бесконечности
таскать за собой тот старый скрипт, но
всё же интересно, чем руководствовались
разработчики, когда его убирали, и как
теперь правильно делать.


а его тоже надо из up/down /etc/network/interfaces грузить
или из соответствующих каталогов :)


  






--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: как правильно загруж ать правила iptables

2008-02-28 Пенетрантность andrey i. mavlyanov 

Mikhail Solovyev wrote:

Добрый день,

В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал 
правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали. 
Понятно, что можно до бесконечности таскать за собой тот старый скрипт, 
но всё же интересно, чем руководствовались разработчики, когда его 
убирали, и как теперь правильно делать.


http://debian-russian.org/debian-faq/networking/kak-sdelat-avtozapusk-fairvolla-kuda-delsya-etc-init-d-iptables/


--
 /aim [ http://aim.pp.ru/ ]


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]