[Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Dmytro O. Redchuk]

On Fri, Mar 25, 2005 at 08:41:49AM +0400, Mike Lykov wrote:
> Алгоритм очень простой:
> 1. iptables -A/D/любое
> (начинает действовать)
> 2. iptables -A/D/любое
> (начинает действовать)
> 3 повторять до удовлетворения
> 4. проверить iptables -L
> 5. service iptables save
> 
> ВСЁ!
Я "готов согласиться" с тем, что "скрипт проще править". Поэтому можно
(мне кажется -- допустимо;) создать хорошо откомментированный скрипт *), в
который можно будет так же просто в нужное место добавить строчку. И вот
как раз при добавлении строчки этим скриптом можно всё это дело и
запускать.

После чего пренепременно iptables save -- и ни в коем случае не пихать в
стартовые скрипты что-то своё ;-)

_____
 *) У меня была площадка с двумя внутренними сетками и двумя каналами на
    разных провайдеров. При этом policy routing по маркам в iptables, и
    куча правил для просто accounting и просто куча... Добавлять руками и
    при этом не промахнуться -- возможно, но... Из серии "Никогда не
    повторяйте удачный эксперимент" :О) И поэтому у меня был добрый
    десяток скриптов.  Думаю, что всё это делать руками -- неоправданный
    героизм :-) Или "job security" -- "делать свою работу так, чтобы никто
    другой не смог это сделать" (что ещё  хуже, конечно).

> 
> если нужно, указывать имя таблицы через -t
> 
> PS и не читайте плохо применимых советов типа " Некоторые предлагают создать 
> исполняемый файл со всем наработанным и каждыйраз его стартовать при 
> перезагрузке"
> 
> Это ненужный, ручной метод. От этого избавляют уже готовые стартовые скрипты 
> сервиса iptables.
> 
> -- 
> Mike Lykov
> Samara, "Vesna" parfum company, System administrator 

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk