On Wed, 2003-03-05 at 13:01, DIONISIE Andrei Valentin wrote: > Eu ma gandeam sa inlocuiesc cu totul scriptul /etc/rd.d/iptables si sa-l > inlocuiesc cu ceva simplu si la obiect in care sa pun eu regulile mele... > Ce credeti? ar fi o solutie sau nu ? nu am ip dinamic, deci ma gandesc ca > nu ar trebui sa fie probleme...
Multa lume prefera asta. Dar ca tot ceri pareri, iata abordarea mea si avantajele ei. In primul rand parca tin minte ca lokkit este un serviciu de sine statator, si cel putin in 7.3 aveam probleme daca nu il dezactivam (adica rescria /etc/sysconfig/iptables). So, problema cea mai mare pe care o intampin cu folosirea directa a lui /etc/sysconfig/iptables este ca daca gresesc ceva si ii dau service iptables start (pe o masina remote de ex), am sanse mari sa imi inchid singur accesul daca am facut greseli de sintaxa. O a doua problema este ca service iptabels save nu pastreaza comments (nici nu are cum, se face iptables-save care e un fel de dump) si pune toate adresele/porturile numerice (la adrese oricum precizez direct IPs, dar la porturi folosesc nume in general). Ok, dar eu am facut un /etc/sysconfig/iptables.source, care este in formatul inteles de iptables-restore si in care pun toate comment-urile, port-urile pe nume in loc de numerice, cum doresc eu si il editez de mana intotdeauna (nu e suprascris de nici un script). Cand fac o modificare, operatia este iptables-restore < /etc/sysconfig/iptables.source && service iptables save. iptables-restore are marele avantaj ca daca am facut o greseala de sintaxa in iptables.source, imi semnaleaza eroarea si nu imi modifica nimic din tablelele existente. Dezavantajul abordarii asteia e ca de fiecare data cand modifici firewall-ul iti resetezi counterele. Dar si cu un script de init custom ai aceeasi problema.... Succes, georgeb -- George Barbarosie <[EMAIL PROTECTED]> intelinet.ro SRL -- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
