Как раз в общем случае используются простые конфигурации, и для них
можно обойтись одним общим скриптом. Наборы правил per-interface -- это
экзотика, которая нужна в подавляющем меньшинстве случаев. Во всех
остальных файрволах (ipfw, pf, ipfilter) прекрасно обходятся общим
скриптом,
Stanislav Kruchinin - debian-russian@lists.debian.org @ Fri, 29 Feb 2008
20:09:13 +0300:
Это сомнительная прекрасность. А, да, общий случай и самый
распространенный случай -- это разные случаи.
SK Это практика, а не сомнительная прекрасность. Много ли вы
SK администрируете машин, где
,--[Mikhail Solovyev [EMAIL PROTECTED] 28/02/2008 12:01 (GMT
+3)
| Добрый день,
|
| В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал
| правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали.
| Понятно, что можно до бесконечности таскать за собой тот
Alexander GQ Gerasiov - debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:04:41 +0300:
Хмм, оригинально. То есть предлагается руками написать файлы вида
iptables -t xx -A xxx bla-bla-bla (повторить N раз)
и положить куда-нибудь туда? раньше явно удобнее было..
А не подскажете
В сообщении от четвер, 28-лют-2008 Mikhail Solovyev написал(a):
В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал
правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали.
Понятно, что можно до бесконечности таскать за собой тот старый скрипт,
но всё же
Sergej Kandyla - debian-russian@lists.debian.org @ Thu, 28 Feb 2008 13:05:09
+0200:
SK - получаем возможность руками редактировать скрипт + в случае ошибки имеем
SK только одно не загруженное правило а не весь фаервол.
... и хорошо, если нам повезло, и ошибка была в запрещающем правиле. А
Stanislav Kruchinin - debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:54:33 +0300:
Общая логика: 1)правила файрвола - свойство интерфейса, а не системы.
SK Это не так. iptables создает хуки и обрабатывает пакеты по мере
SK прохождения их через сетевой стэк (подсистему ядра), таким
Sergej Kandyla - debian-russian@lists.debian.org @ Thu, 28 Feb 2008 13:55:00
+0200:
SK - получаем возможность руками редактировать скрипт + в случае
SK ошибки имеем только одно не загруженное правило а не весь
SK фаервол.
... и хорошо, если нам повезло, и ошибка была в запрещающем
On Thu, 28 Feb 2008 14:44:54 +0300 Artem Chuprina wrote:
AC Sergej Kandyla - debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:05:09 +0200:
SK - получаем возможность руками редактировать скрипт + в случае ошибки имеем
SK только одно не загруженное правило а не весь фаервол.
AC ... и
В Чтв, 28/02/2008 в 15:01 +0600, Mikhail Solovyev пишет:
Добрый день,
В Sarge был скрипт /etc/init.d/iptables, который замечательно подгружал
правила из /var/lib/iptables/{active,inactive}. А в Etch это убрали.
Понятно, что можно до бесконечности таскать за собой тот старый скрипт,
но
В Чтв, 28/02/2008 в 13:04 +0300, Alexander GQ Gerasiov пишет:
На Thu, 28 Feb 2008 15:22:35 +0600
Mikhail Solovyev [EMAIL PROTECTED] записано:
Хмм, оригинально. То есть предлагается руками написать файлы вида
iptables -t xx -A xxx bla-bla-bla (повторить N раз)
и положить куда-нибудь туда?
,--[Sergej Kandyla [EMAIL PROTECTED] 28/02/2008 15:47 (GMT +3)
| Но когда делал серьезные переходы (например на хостинге с iptables-save
| на самописный скрипт) то
| */10 * * * * /sbin/iptables -P INPUT ACCEPT;
| /sbin/iptables -P OUTPUT ACCEPT; /sbin/iptables -F;
В Чтв, 28/02/2008 в 14:21 +0300, Artem Chuprina пишет:
Stanislav Kruchinin - debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:54:33 +0300:
Общая логика: 1)правила файрвола - свойство интерфейса, а не системы.
SK Это не так. iptables создает хуки и обрабатывает пакеты по мере
SK
В Чтв, 28/02/2008 в 14:30 +0200, Mikolaj Golub пишет:
On Thu, 28 Feb 2008 14:44:54 +0300 Artem Chuprina wrote:
AC Sergej Kandyla - debian-russian@lists.debian.org @ Thu, 28 Feb 2008
13:05:09 +0200:
SK - получаем возможность руками редактировать скрипт + в случае ошибки
имеем
SK
14 matches
Mail list logo