si care-i diferenta daca regula exista de 2 ori intr-unul din chainurile "default" sau intr-un "user chain"? oricum va matchui la fel, presupunand ca pachetul va ajunge in "user chain" dintr-unul din chainurile "default". /me care de plictiseala a dat while true;do iptables -A INPUT -j LOG;done si dupa ~5000 -j LOG-uri cpu load 100% si a trebuit sa scot cablul din placa de retea ca sa pot sa iptables -F :D
On Tue, 2004-02-24 at 16:22, Alin Nastac wrote: > Pt. ca setarea iptables-ului ca la carte presupune existenta unui script > de initializare. E o treaba mult prea complicata pt a o face de azi pe > miine. iptables-save/iptables-restore sint doua utilitare f. bune, dar > initializarea lor trebuie facuta cu un script cu linii iptables -A... de > acord ca a gresi este omeneste, dar o greseala atit de grosolana ca > absenta scriptului de initializare (in conditiile in care te intereseaza > securitatea masinii/retelei tale) e impardonabila. > > daca ai reguli dinamice, ce te opreste sa folosesti un chain user in > care sa faci ce vrei tu? -A/-I/-R/-D/-F, you name it! > > iptables-ul e un utilitar f. simplu care face ceea ce a fost gindit sa > faca: nu te impiedica sa te impusti singur in picior, dar nici nu iti > pune piedica in realizarea lucrurilor care au depasit puterea de > imaginatie a celor care l-au creat. > > btw, nimeni nu te opreste in a scrie un script care sa faca exact ceea > ce vrei tu: sa verifice ca regula nu exista inainte de a o apenda/insera. > > Costea Liviu wrote: > > >Imi permit sa nu fiu de acord cu tine. Este omeneste sa mai gresesti, nu > >vad de ce exista trebuie sa faci tu un script, sa te uiti prin listele de > >reguli, cu alte cuvinte sa-ti complici treaba cand se poate insera de > >exemplu o optiune in plus la iptables care sa nu adauge (-A,-I) o regula > >care exista deja. Daca vrei o folosesti, daca nu, nu. > > > > > > > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ > -- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQBAO2AazEN+vLL1CukRAjXvAJ413ZZVdvD/llAup9R39z6DCYjQNACdE+lx 3XjBruzK8Iq2y0QpVUmTEF8= =hNQk -----END PGP SIGNATURE----- --- Detalii despre listele noastre de mail: http://www.lug.ro/
