On 2012.05.13 at 16:06:50 +0400, Artem Chuprina wrote: > Victor Wagner -> [email protected] @ Sun, 13 May 2012 15:18:56 > +0400: > > VW> Вообще, как я посмотрел, большинство из перечисленных на данной > VW> страничке пакетов содержат свой скрипт в /etc/init.d. В то время как > VW> казалось бы более правильное место для конфигурирования файрволла - это > VW> post-up скрипт внешнего интерфейса. Опять же в момент post-up выданный > VW> провайдером IP-адрес уже известен и может быть использован. > > Знаешь, я бы сказал, что в post-up уже поздно. Хотя если в pre-up > закрыть всё, кроме DHCP, то можно.
Вполне вариант. Главное еще ip_forward запретить > Но вообще я таки считаю, что конфигурация файрвола должна быть одна, и > грузиться она должна до подъема lo. Другое дело, что после > передергивания внешнего интерфейса ее можно перегружать, учитывая новый > адрес - но мне ни разу не приходилось оказываться в ситуации, когда при > динамическом адресе на внешнем интерфейсе этот адрес зачем-то нужно было > знать для конфигурации файрвола. iptables позволяет обойтись без этого > знания. В общем-то обойтись можно. > VW> iptables-save/iptables-restore. > > VW> Кто что посоветует? > > Вот их и посоветую. При смене конфига на ходу я еще использую > iptables-apply. Мне этот вариант не нравится тем, что формат конфига не ориентирован на удобочитаемость. Даже самопальный шелльный скрипт с четочку продуманной системой переменных для подсеией и интерфейсов и активным использованием циклов получаеися намного обозримей. А шелльная надстройка над которой думали много людей должна быть еще лучше. > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > Archive: http://lists.debian.org/[email protected] > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
