Jak podają anonimowe źródła, przepowiedziano, że Mariusz Ufnal napisze:
> > > > I załadowanie regułek firewalla PO podniesieniu interfejsów > > > > sieciowych? Dziękuję bardzo. > > > No to możesz przed -- katalog /etc/network/if-pre-up.d. > > > Chodziło tylko o ideę, żeby konfiguracja sieci była w jednym miejscu. > > Dodaj do tego /etc/ppp/ip-up.d/ i będzie już w trzech miejscach. > Możliwości wpisania reguł firewalla i jego uruchamiania jest wiele, ale > przyglądając się skryptom dostarczanym przez dystrybucję dochodzę do > wniosku że regułki winny być umieszczone tak jak poradził mi tu ktoś > wcześniej ( a tak to zrozumiałem ) w /etc/defaults/iptables, a start > powinien odbywać się za pomocą skryptu w /etc/init.d/iptables. Źle zrozumiałeś. Powinieneś się był chyba zorientować po zawartości tego pliku, tym bardziej tej części gdzie napisane zostało jak działa i jak konfigurować /etc/init.d/iptables > To wszystko myślę upraszcza konfigurację systemu i daje oczywiście > możliwość lepszego zarządzania firewallem ( np. możliwość szybkiego > restartu iptables bez ruszania interfejsów ). To prawda, ale /etc/init.d/iptables wykorzystuje zapisywanie stanu tabelek i odtwarza ten stan przy każdym starcie. Wykonywanie zmian w fw jest wtedy trudne. Ogólnie rzecz biorąc ta metoda ma tyle wad, że sam autor /etc/init.d/iptables odradza jej stosowanie. > Myślę też że pisanie > dodatkowych skryptów po za specyficznymi wymaganiami, tylko > niepotrzebnie wprowadza pewien nieład w systemie. mkdir -p /etc/init.d/moje_skrypty vim /etc/init.d/moje_skrypty/fw ln -s /etc/init.d/moje_skrypty/fw /etc/init.d/fw straszny nieład... Szczególnie utrudnia przeprowadzkę systemu. Nie to, co szukanie regułek po /var/lib/iptables W połączeniu z /etc/network/if-up.d i /etc/ppp/ip-up.d możesz sobie zbudować elastyczny fw., coś w stylu: /etc/init.d/moje_skrypty/fw: ---------------------------- iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -N inok iptables -A inok -i lo -j ACCEPT iptables -A INPUT -j inok iptables -A INPUT -j DROP /etc/network/if-up.d/fw ----------------------- iptables -A inok -i $IFACE -s $ADDRFAM -j ACCEPT /etc/network/if-down.d/fw ------------------------- iptables -D inok -i $IFACE -s $ADDRFAM -j ACCEPT man 5 interfaces man 8 iptables less /etc/default/iptables update-rc.d --help > No i co wtedy z > programami które odwołują się do standardowych skryptów w systemie ( np. > jakaś nakładka graficzna na firewall ) Po co ci graficzna nakładka na fw? Co ona ma robić w przypadku, kiedy ten fw sam wcześniej napiszesz? Nie żartuj sobie. Pozdrawiam -- Jacek Kawa **Kto chce niech wraca do portu, ja nie wrócę do normy**
