On Monday 02 March 2009 10:29:20 Artem Chuprina wrote: > >> А мне представляется, что это неправильное правило. > AB> которое правило неправильное? > > Одинаковая политика для INPUT и OUTPUT :-)
Ну это лишь пример. Могу выслать свои конфиги для обзора, если интересно. > Это хорошо. Если он еще и функциональность iptables-apply умеет, то > совсем неплохо. Не умеет. Синтаксис своего конфига он проверяет, но откатывать по таймауту не умеет. Нужно обёртку делать. > А это утверждение где-нибудь обосновывается? Нет. Ну, считать и преобразовать iptables-save в ferm.conf точно можно, только сам по себе он не станет от этого читабельнее. Ситуция примерно как с дизассемблерами. Тулзы такой не встречал, видимо никому не нужно было такое. > А как насчет > path-o-matic'ов всяких (ну, дополнений к функциональности файрвола - в > том числе и добавляющих новые параметры к iptables)? Синтаксис iptables > жует эти дополнения by design, а что с ними ferm делает? ferm уже поддерживает некоторые patch-o-matic расширения. Разумеется с непатченными iptables они работать не будут. С новыми расширениями, неизвестными ferm такой финт не получится.
