- а как вы настраиваете fw на rh-based системах, reader, 17:22 , 25-Мрт-10 (1)
/etc/sysconfig/iptables имеет формат такой же как и вывод iptables-save, текущие правила можно сбросить туда по service iptables save
- а как вы настраиваете fw на rh-based системах, McLeod095, 18:21 , 25-Мрт-10 (2)
>/etc/sysconfig/iptables имеет формат такой же как и вывод iptables-save, текущие правила можно >сбросить туда по service iptables save Да и править этот файл можно. Я например на основных шлюзах так и делаю, т.к. помимо самого правила надо еще и комменты оставлять для чего правило. Только надо помнить что нельзя что бы в нем были пустые строки, или коммент или правило.
- а как вы настраиваете fw на rh-based системах, netc, 10:15 , 26-Мрт-10 (3)
>>/etc/sysconfig/iptables имеет формат такой же как и вывод iptables-save, текущие правила можно >>сбросить туда по service iptables save > >Да и править этот файл можно. >Я например на основных шлюзах так и делаю, т.к. помимо самого правила >надо еще и комменты оставлять для чего правило. Только надо помнить >что нельзя что бы в нем были пустые строки, или коммент >или правило. так это же неудобно! блин а ;( удобнее когда по умолчанию у тебя грузиться например первый набор правил т.е. fw а если тебе надо то можно загрузить и другие например, nat, allblock, и т.д. тем более, ИМХО, не удобнее использовать формат /etc/sysconfig/iptables для хранения правил, т.к. 1. ограничения его по поводу пустых строк (из-за чего будет все сливаться, имхо) и 2. в результате service iptables save в файл /etc/sysconfig/iptables записываются только сами правила и цепочки и ни каких каментов. НЕТ - Должен быть правильный выход из этой ситуации, ведь недаром redhat считается цельной системой
- а как вы настраиваете fw на rh-based системах, McLeod095, 11:25 , 26-Мрт-10 (4)
>[оверквотинг удален] >тем более, ИМХО, не удобнее использовать формат /etc/sysconfig/iptables для хранения правил, т.к. > >1. ограничения его по поводу пустых строк (из-за чего будет все сливаться, >имхо) >и >2. в результате service iptables save в файл /etc/sysconfig/iptables записываются только сами >правила и цепочки и ни каких каментов. > >НЕТ - Должен быть правильный выход из этой ситуации, ведь недаром redhat >считается цельной системой ЭЭЭЭ. Ну как бы я привык. Раньше на слаке был файл /etc/rc.d/rc.firewall в котором были правила прописаны в виде команд. Теперь все делается в командной строке и такие команды как iptables -L FORWARD -nv --line-number и т.п. набираются просто на автомате, а в сочетании с grep инструмент вообще мощный. Ну конечно вообще хотелось бы какой нибудь инструмент для более наглядного хранения и комментирования правил, но покопав в /etc/init.d/iptables понял что большего нет.
- а как вы настраиваете fw на rh-based системах, PavelR, 11:41 , 28-Мрт-10 (9)
>[оверквотинг удален] >> >>НЕТ - Должен быть правильный выход из этой ситуации, ведь недаром redhat >>считается цельной системой > >ЭЭЭЭ. >Ну как бы я привык. Раньше на слаке был файл /etc/rc.d/rc.firewall в >котором были правила прописаны в виде команд. Теперь все делается в >командной строке и такие команды как iptables -L FORWARD -nv --line-number >и т.п. набираются просто на автомате, а в сочетании с grep >инструмент вообще мощный. "iptables -nvL FORWARD --line-number" набирается еще чуть проще >Ну конечно вообще хотелось бы какой нибудь инструмент >для более наглядного хранения и комментирования правил, но покопав в /etc/init.d/iptables >понял что большего нет.
- а как вы настраиваете fw на rh-based системах, daloman, 12:02 , 26-Мрт-10 (5)
- а как вы настраиваете fw на rh-based системах, netc, 13:39 , 26-Мрт-10 (6)
>Если Вы уже работали с Debian и FreeBSD PF, думаю, не должно >возникнуть трудностей, если, конечно не забывать про первоисточники. > >Например, для 5-го релиза: > >http://www.centos.org/docs/5/html/5.2/Deployment_Guide/s1-ip... >http://www.centos.org/docs/5/html/5.2/Deployment_Guide/s1-ip... спасибо. в том все и дело что НЕ трудности смущают, а не знание, поэтому и обратился к профессионалам все таки учиться на чужих ошибках - гораздо лучше, чем на своих да может кто то и привык так делать, но ИМХО не удобно это, поэтому отсюда два вывода: 1. либо действительно тока самому все придумывать 2. либо найти человека, который подскажет уже использующееся решение
- а как вы настраиваете fw на rh-based системах, daloman, 15:55 , 26-Мрт-10 (7)
ИМХО, знания лучше черпать в man-ах; true way искать в официальной документации к дистрибутиву; ну а вопрос удобства - личное дело каждого.В общем, что-то я отклонился от сути вопроса :) Cам лично, если придется работать с CentOS или RH буду следовать именно методам, описанным в документации.
- а как вы настраиваете fw на rh-based системах, ALex_hha, 21:26 , 27-Мрт-10 (8)
Как по мне то в debian иногда просто дебильная система конфигов. Столкнулся недавно с настройкой exim. Это просто маразм, 100 конфигурационных файлов, маразм, имхо.
- а как вы настраиваете fw на rh-based системах, начинающий, 14:33 , 28-Мрт-10 (10)
>Как по мне то в debian иногда просто дебильная система конфигов. Столкнулся >недавно с настройкой exim. Это просто маразм, 100 конфигурационных файлов, маразм, >имхо. К чему разводить холивар. ИМХО в Debian очень продуманная и гибкая система конфигов, и exim - один из примеров. Можно 1. Пользоваться одним большим конфиг файлом. 2. Разбить настройки на много конфигов (что особенно удобно, если за различные части настройки отвечают разные админы). 3. Править лишь небольшой файл с основными настройками и гененировать конфиг (аля wizard). Что касается основного поста, в Centos у меня есть файл iptables.sh с прописанными правилами, который правлю вручную. После загрузки правил ./iptables.sh делаю iptables-save >iptables и все выходит на автомат. Если есть несколько наборов правил, которые необходимо автоматически подгружать в различных ситуациях (подъем/опускние каких-либо интерфейсов, например), то стандартного дистрибрешения я не знаю, но можно как и в дебиан, такие правила писать в if-up.d.
- а как вы настраиваете fw на rh-based системах, ALex_hha, 17:01 , 28-Мрт-10 (11)
Да ни какого холивара, просто очень не понравилось, когда чуть ли не каждый acl в отдельном файле :)
- а как вы настраиваете fw на rh-based системах, netc, 10:18 , 29-Мрт-10 (12)
>[оверквотинг удален] >части настройки отвечают разные админы). >3. Править лишь небольшой файл с основными настройками и гененировать конфиг (аля >wizard). > >Что касается основного поста, в Centos у меня есть файл iptables.sh с >прописанными правилами, который правлю вручную. >После загрузки правил ./iptables.sh делаю iptables-save >iptables и все выходит на автомат. >Если есть несколько наборов правил, которые необходимо автоматически подгружать в различных ситуациях >(подъем/опускние каких-либо интерфейсов, например), то стандартного дистрибрешения я не знаю, но >можно как и в дебиан, такие правила писать в if-up.d. ну в сущности почти так и решил делать, только вот возник еще вопрос как проверить синтаксис правил перед загрузкой ? 1. например в pf это была команда pfctl -nf /etc/pf.conf ? 2. и что будет если в одном из правил будет ошибка ?
- а как вы настраиваете fw на rh-based системах, ALex_hha, 19:46 , 29-Мрт-10 (13)
>вопрос как проверить синтаксис правил перед загрузкой ? запустить скрипт > 2. и что будет если в одном из правил будет ошибка ? правило с ошибкой не будет добавлено
- а как вы настраиваете fw на rh-based системах, netc, 16:17 , 30-Мрт-10 (14)
>>вопрос как проверить синтаксис правил перед загрузкой ? > >запустить скрипт > >> 2. и что будет если в одном из правил будет ошибка ? > >правило с ошибкой не будет добавлено тогда такой вопрос при pfctl -f /etc/pf.conf мое соединение по ssh не теряется, да и поидее ну если я прав "таблица соединение на сервере" тоже не трогаеться а с iptables все сбрасывается, следовательно надо как то сначала сделать файл типа /etc/sysconfig/iptables только другой из которого потом используя команду iptables-restore восстановить новые нужные правила без всяких сбросов таблицы соединений, ната, и т.д. ?
- а как вы настраиваете fw на rh-based системах, McLeod095, 17:42 , 30-Мрт-10 (15)
>[оверквотинг удален] >тогда такой вопрос >при pfctl -f /etc/pf.conf >мое соединение по ssh не теряется, да и поидее ну если я >прав "таблица соединение на сервере" тоже не трогаеться > >а с iptables все сбрасывается, следовательно надо как то сначала сделать файл >типа /etc/sysconfig/iptables только другой из которого потом используя команду iptables-restore > >восстановить новые нужные правила без всяких сбросов таблицы соединений, ната, и т.д. >? Читаем /etc/sysconfig/iptables-config и ставим нужные переменные. Ну а дальше если не изобретаете велосипедов то при команде service iptables restart все будет нормально. Да и при service iptables stop все будет сохраняться. Да и кстати у меня на удаленной машине даже при выполнении команды service network restart ssh не рвется, если конечно новые настройки были правильными (Тока не пинать ногами, я знаю что есть команды ifdow, ifup, но иногда бывает надо именно полностью рестартануть для проверки).
|