Hello, Alexander!
On October, 17 2013 at 11:27 you wrote to Alexey Markov:
AY> Мне кажется в таких экспериментах с файрволлом, давно есть потребность
AY> указания команд, которые вернут всё в некий дефолт.
AY> например указываешь что твой возврат это будет
AY> "ipfw flush
AY> ipfw add allow all from $ADMIN_EXT_IP to me"
В таком алгоритме есть один большой минус: при сбрасывании правил в "дефолт"
потеряется доступ ко всем сервисам на сервере. Поэтому я и выбрал другой
вариант: при обнаружении ошибки в новых правилах скрипт просто откатывается
к предыдущим. Ну, а если админ очень хочет прострелить себе ногу, то скрипт
просто проследит, чтобы это было сделано синтаксически корректно. ;-)
AY> А выполнит его крон, если ощутит необходимость (например в who не будет
AY> никого нужного :)
Привлекать крон - это уже излишняя сущность: надо будет добавлять и удалять
в него свои задания, отслеживать их статус...
Мне кажется, можно сделать удобнее: добавить к скрипту ещё один ключик,
который задаст некий таймаут. Скрипт применит новые правила, выдаст на
консоль
строчку типа "To permanently apply new rules press Ctrl+С" и будет ждать
указанное время. Если за это время админ не прервёт работу скрипта, тот
автоматом откатит изменения правил. Как такой вариант?
--
WBR, Alexey Markov.
