<div dir="ltr">6 августа 2008 г. 8:22 пользователь Michael A. Kangin<span dir="ltr"></span> написал:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">
<br>
</div>А у меня на всех рутерах традиционно файрвол поднимается скриптом. Ибо очень<br>
много правил генерится в циклах, с подстановками переменных...</blockquote>Однажды, когда я начал заблуждаться в своих скриптах с кучей подстановок,<br>я взял огромный рашпиль, маны, трубку-воскурку для манов и задумался ...<br>
Как оказалось, масса правил заменилась одной строкой...<br>Например, вместо обработки каждого нового PPP соединения<br>я написал правила типа <br>-i ppp+ и далее по тексту ...<br>И все работало точно так же, но управлялось гораздо проще ...<br>
Опять же, много правил можно убрать, если применить <br>-p icmp -m state --state RELATED,ESTABLISHED<br>для уже открытых соединений ...<br>И быстрее, и проще для глаз и мозга ...<br><br>Проверяем ручками загрузку каждой строки, потом смотрим на результат<br>
# iptables-save<br>Потом, если понравилось,<br>#iptables-save > somefile.txt или, для фанатов, <br>#iptables-save > /etc/sysconfig/iptables<br>Проверяем права и убеждаемся, что при перезагрузке стартуют iptables (chkconfig)<br>
<br>После этого чистим настройки /etc/net для iptables<br><br>Как вариант, раскладываем правила в /etc/net вместо /etc/sysconfig/iptables<br>Но перезагрузить правила, записанные в /etc/net можно (похоже) только рестартом <br>
сети, а это мне не нравится ...<br>По этому, как вариант, можно делать две настройки:<br>Сперва в /etc/net, потом синхронизировать их iptables-save > /etc/sysconfig/iptables<br>и после этого смело service iptables stop|start|reload и т.д.<br>
<br>Каждый админ сам выбирает себе стену, расстояние, скорость сближения и наклон головы.<br><br></div><br>-- <br>Как правильно задавать вопросы:<br><a href="http://maddog.sitengine.ru/smart-question-ru.html">http://maddog.sitengine.ru/smart-question-ru.html</a><br>
<br>Помогает:<br><a href="http://search.altlinux.org">http://search.altlinux.org</a><br><br>Best regards,<br> Dmitriy L. Kruglikov<br> Dmitriy.Kruglikov_at_gmail_dot_com <br> DKR6-RIPE<br> DKR6-UANIC<br> XMPP: Dmitriy.Kruglikov_at_gmail_dot_com<br>
</div>