On Wed, Jan 29, 2003 at 12:25:52PM +0300, Victor Wagner wrote: > А зачем писать их все руками? > > В конце концов, это обычные юниксовые команды, вызывающиеся из > shell-овского скрипта. > > Я генерирую из биллинговой базы файлик вида > > block такой-то-IP > allow такoй-то-IP smtp socks > disallow такой-то-IP http > > После чего этот файлик включается командой source в скрипт инициализации > файрволла. А в том определены shell-функции block, allow, disallow etc. > > Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг > зачем-то понадобилось перегрузить машину с 2.2 ядром. > > Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или > 2.4 определит другие функции.
а зачем нужна биллинговая база в простых случаях? особенно на машине где откат на 2.2 не предполагается. > > > > Конфиг кидается в /etc, перестраиваем firewall только руками (генерим, > > проверяем, запускаем, сохраняем), а для woody используем > > /etc/init.d/iptables > > load/save :) > > А вот на эту фичу я посмотрел, почитал комментарии мейнтейнера и > последовал его совету - не использовать, а использовать что-нибудь > другое. В данном случае развил свой старый /etc/init.d/firewall > > Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables > инструментов вполне себе входит. ВМЕСТЕ. /etc/init.d/iptables оперирует конфигурациями в своем формате, а ferm транслирует эти конфигурации со своего 'ЯВУ' -- A: No Q: Should I quote below my post? Good luck! /AKA Druid
