On 2003.01.29 at 11:04:20 +0200, Denis A. Kulgeyko wrote: > > Я, честно говоря, не помню процесс перетаскивания своего > > firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для > > прозрачного прокси. В общем, было это в другом дистрибутиве, так что > > неважно. Но по крайней мере фильтрация пакетов и получение статистики > > должны работать. > > Закину свои ржавых 1/20 часть "Убитого американского Енота". :) > Я для firewall'ов (а в свое время пришлось писать их немало, все на линухе, в > основном woody/2.4.x) долго искал хороший инструмент для автоматизации. > Потому как писать _все_ правила ipchains/iptables руками
А зачем писать их все руками? В конце концов, это обычные юниксовые команды, вызывающиеся из shell-овского скрипта. Я генерирую из биллинговой базы файлик вида block такой-то-IP allow такoй-то-IP smtp socks disallow такой-то-IP http После чего этот файлик включается командой source в скрипт инициализации файрволла. А в том определены shell-функции block, allow, disallow etc. Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг зачем-то понадобилось перегрузить машину с 2.2 ядром. Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или 2.4 определит другие функции. > Конфиг кидается в /etc, перестраиваем firewall только руками (генерим, > проверяем, запускаем, сохраняем), а для woody используем /etc/init.d/iptables > load/save :) А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и последовал его совету - не использовать, а использовать что-нибудь другое. В данном случае развил свой старый /etc/init.d/firewall Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables инструментов вполне себе входит. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
