On Mon, Jun 02, 2008 at 09:56:17AM +0400, Oleg Frolkov wrote:
> Alexey Boyko пишет:
>> Saturday 31 May 2008 00:09:14 Alexander GQ Gerasiov написав:
>>
>>
>>> Господа, а чем сейчас модно генерировать правила файрвола?
>>> Понятно, что можно руками писать, но как-то слишком уж объемно
>>> получается. Можно (и сейчас так и сделано), в шелл скрипте пяток
>>> функций задать, чтобы правила попроще вылядели, но нет ли чего хорошего
>>> готового? И чтобы нат знало/умело. Shorewall?
>>>
>>
>> apt-get install ferm
>>
>> Свой, более читаемый язык. Есть функции и переменные, группирование
>> правил, backticks, и др.
>>
>> пример файла с правилами :
>>
> [axed]
>
> Тоже им пользуюсь с давних пор, но ищу замену. Он хорош, но только как
> препроцессор для генерации
> скрипта iptables, а хочется порой чего-то более гибкого. Например надо
> еще добавить правил - в случае с
> ferm это полный рестарт файрволла который например в моем случае -
> требует переинициализации всех
> правил которые добавлены не с помощью ferm (у меня при поднятии ppp
> интерфейсов приписываются
> дополнительные строчки для NAT в зависимости от адресов с которыми
> поднимается ppp, т.е после рестарта ferm - имеем сломанный NAT на ppp
> интерфейсах.) вот и хотелось-бы файрволл который умеет добавить/удалить
> конкретные блоки правил а не рестартовать iptables очищая все цепочки.
Я просто вынес правила для каждой цепочки в отдельный шелл-скрипт, написанный
так,
чтобы при его запуске конкретно эта и только эта цепочка переписалась.
-------------------------
# head nat_postrouting
# vim: ft=sh
. /etc/network/iptables/common_config
$IPTABLES -t nat -N snat
$IPTABLES -t nat -F POSTROUTING
<правила>
-------------------------
--
Yauhen Kharuzhy jekhor _at_ gmail.com
JID: [EMAIL PROTECTED]
A: No
Q: Should I quote below my post?
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
