Stanislav Kruchinin -> debian-russian@lists.debian.org @ Fri, 29 Feb 2008
20:09:13 +0300:
>> Это сомнительная прекрасность. А, да, "общий случай" и "самый
>> распространенный случай" -- это разные случаи.
SK> Это практика, а не "сомнительная прекрасность". Много ли вы
SK> администрируете м
> Как раз в "общем случае" используются простые конфигурации, и для них
> можно обойтись одним общим скриптом. Наборы правил per-interface -- это
> экзотика, которая нужна в подавляющем меньшинстве случаев. Во всех
> остальных файрволах (ipfw, pf, ipfilter) прекрасно обходятся общим
> скриптом
В Чтв, 28/02/2008 в 14:30 +0200, Mikolaj Golub пишет:
> On Thu, 28 Feb 2008 14:44:54 +0300 Artem Chuprina wrote:
>
> AC> Sergej Kandyla -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008
> 13:05:09 +0200:
>
> SK>> - получаем возможность руками редактировать скрипт + в случае ошибки
> имее
В Чтв, 28/02/2008 в 14:21 +0300, Artem Chuprina пишет:
> Stanislav Kruchinin -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008
> 13:54:33 +0300:
>
> >> Общая логика: 1)правила файрвола - свойство интерфейса, а не системы.
>
> SK> Это не так. iptables создает хуки и обрабатывает пакеты по
,--[Sergej Kandyla <[EMAIL PROTECTED]> 28/02/2008 15:47 (GMT +3)
| Но когда делал серьезные переходы (например на хостинге с iptables-save
| на самописный скрипт) то
| */10 * * * * /sbin/iptables -P INPUT ACCEPT;
| /sbin/iptables -P OUTPUT ACCEPT; /sbin/iptables -F
В Чтв, 28/02/2008 в 13:04 +0300, Alexander GQ Gerasiov пишет:
> На Thu, 28 Feb 2008 15:22:35 +0600
> Mikhail Solovyev <[EMAIL PROTECTED]> записано:
>
> > Хмм, оригинально. То есть предлагается руками написать файлы вида
> > iptables -t xx -A xxx bla-bla-bla (повторить N раз)
> > и положить куда-ни
В Чтв, 28/02/2008 в 15:01 +0600, Mikhail Solovyev пишет:
> Добрый день,
>
> В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал
> правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали.
> Понятно, что можно до бесконечности таскать за собой тот старый скрипт,
>
On Thu, 28 Feb 2008 14:44:54 +0300 Artem Chuprina wrote:
AC> Sergej Kandyla -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:05:09 +0200:
SK>> - получаем возможность руками редактировать скрипт + в случае ошибки имеем
SK>> только одно не загруженное правило а не весь фаервол.
AC>
Sergej Kandyla -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008 13:55:00
+0200:
>> SK> - получаем возможность руками редактировать скрипт + в случае
>> SK> ошибки имеем только одно не загруженное правило а не весь
>> SK> фаервол.
>>
>> ... и хорошо, если нам повезло, и ошибка была в
Sergej Kandyla -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008 13:05:09
+0200:
SK> - получаем возможность руками редактировать скрипт + в случае ошибки имеем
SK> только одно не загруженное правило а не весь фаервол.
... и хорошо, если нам повезло, и ошибка была в запрещающем правиле. А
В сообщении от четвер, 28-лют-2008 Mikhail Solovyev написал(a):
> В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал
> правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали.
> Понятно, что можно до бесконечности таскать за собой тот старый скрипт,
> но всё же
Stanislav Kruchinin -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:54:33 +0300:
>> Общая логика: 1)правила файрвола - свойство интерфейса, а не системы.
SK> Это не так. iptables создает хуки и обрабатывает пакеты по мере
SK> прохождения их через сетевой стэк (подсистему ядра), таки
Alexander GQ Gerasiov -> debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:04:41 +0300:
>> Хмм, оригинально. То есть предлагается руками написать файлы вида
>> iptables -t xx -A xxx bla-bla-bla (повторить N раз)
>> и положить куда-нибудь туда? раньше явно удобнее было..
>>
>> А не подс
,--[Mikhail Solovyev <[EMAIL PROTECTED]> 28/02/2008 12:01 (GMT
+3)
| Добрый день,
|
| В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал
| правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали.
| Понятно, что можно до бесконечности таскать за собой тот ст
14 matches
Mail list logo