[Sysadmins] [Comm] как использовать fqdn в правилах iptables?

[Anton Kvashin]

Денис Черносов пишет:
> В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо. 
> Потому что одно имя может иметь несколько ip или просто меняться гораздо 
> реже, чем ip.

Внести блок адресов организации/конторы/провайдера. Сделать выборку 
интересующих вас, правда покрытие может быть шире.

> Суть проблемы в том, что iptables стартует ДО поднятия интерфейсов и ДО 
> старта bind.

Сначала инициализируется сетевая подсистема (подъем интерфейсов), потом 
сетевые сервисы. У вас не так? А если возникнет проблема с DNS?

> Т.е. разрешение имен в этот момент не работает. Если такое 
> правило стоит в /etc/sysconfig/iptables, то iptables при перезагрузке 
> просто отваливается. Можно добавить часть правил iptables в скрипт, 
> который стартует ПОСЛЕ bind, но..:
> 1) Как сделать так, чтобы корректно отрабатывалось поднятие/опускание 
> интерфейсов?

Падение линка? Если нет сети, что вы хотите от фильтра? Если есть другие 
линки, то они должны быть в правилах.

> 2) Как сделать так, чтобы корректно отрабатывалось 
> поднятие/опускание/падение bind?

Заполнить руками/скриптом /etc/hosts. Избавится от имен в цепочках.

> Нигде не наталкивался на предложения по этому поводу. Неужели правильнее 
> будет это всё повесить на Squid? Или есть третий вариант?

А что вы хотите, опишите задачу.

-- 
Anton Kvashin