[Comm] Re: Автозапуск IPTABLES

[Dmytro O. Redchuk]

On Tue, Nov 02, 2004 at 10:41:22AM +0200, Michael Shigorin wrote:
> Если iptables сконфигурировать -- это бывает удобнее сделать один
> раз чем угодно, затем service iptables save и далее просто
> редактировать /etc/sysconfig/iptables с последующим
> service iptables reload; если "куда запихать скрипт" -- да хоть
> дёрнуть из /etc/rc.d/rc.local (создать как исполняемый, если нет)
> -- вот только обычно все эти "скрипты из доки про iptables" кривы
> и ужасны до невозможного.  Из где-то валявшейся доки, that is.

Для "достаточно сложного" набора правил мне больше нравилось держать в CVS
_комплект_ хорошо откомментированных скриптов и именно их использовать для
запуска/перезапуска.

Плюс -- их легко менять и дополнять :-) Например, на out интерфейсе
несколько скриптов -- для маркирования, для эккаунтинга, для
маскарадинга...  например... :-) Легко разобраться и самому, и коллегам.

При этом *безусловно использовать* service iptables <args>

> 
> Цепляю свою дежурную болванку дампа правил.
> 
> -- 
>  ---- WBR, Michael Shigorin <mike на altlinux.ru>
>   ------ Linux.Kiev http://www.linux.kiev.ua/

> 
> # Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002


-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk