[sisyphus] Q: Куда сейчас идейно правильно вписывать маскарадинг?
Dmitriy Kruglikov
=?iso-8859-1?q?dmitriy=2Ekruglikov_=CE=C1_gmail=2Ecom?=
Ср Авг 6 09:53:42 MSD 2008
6 августа 2008 г. 8:22 пользователь Michael A. Kangin написал:
>
> А у меня на всех рутерах традиционно файрвол поднимается скриптом. Ибо
> очень
> много правил генерится в циклах, с подстановками переменных...
Однажды, когда я начал заблуждаться в своих скриптах с кучей подстановок,
я взял огромный рашпиль, маны, трубку-воскурку для манов и задумался ...
Как оказалось, масса правил заменилась одной строкой...
Например, вместо обработки каждого нового PPP соединения
я написал правила типа
-i ppp+ и далее по тексту ...
И все работало точно так же, но управлялось гораздо проще ...
Опять же, много правил можно убрать, если применить
-p icmp -m state --state RELATED,ESTABLISHED
для уже открытых соединений ...
И быстрее, и проще для глаз и мозга ...
Проверяем ручками загрузку каждой строки, потом смотрим на результат
# iptables-save
Потом, если понравилось,
#iptables-save > somefile.txt или, для фанатов,
#iptables-save > /etc/sysconfig/iptables
Проверяем права и убеждаемся, что при перезагрузке стартуют iptables
(chkconfig)
После этого чистим настройки /etc/net для iptables
Как вариант, раскладываем правила в /etc/net вместо /etc/sysconfig/iptables
Но перезагрузить правила, записанные в /etc/net можно (похоже) только
рестартом
сети, а это мне не нравится ...
По этому, как вариант, можно делать две настройки:
Сперва в /etc/net, потом синхронизировать их iptables-save >
/etc/sysconfig/iptables
и после этого смело service iptables stop|start|reload и т.д.
Каждый админ сам выбирает себе стену, расстояние, скорость сближения и
наклон головы.
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sisyphus/attachments/20080806/d8cba060/attachment-0002.html>
Подробная информация о списке рассылки Sisyphus