Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Автозагрузка правил iptables (Lazymode)  (Прочитано 71930 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Procik

  • Новичок
  • *
  • Сообщений: 29
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #15 : 06 Июля 2010, 19:34:44 »
Бред , кому как нравится тот так и запускает, главное правильно их написать, эти правила.
« Последнее редактирование: 06 Июля 2010, 19:36:19 от Procik »

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #16 : 06 Июля 2010, 21:12:37 »
Бред , кому как нравится тот так и запускает, главное правильно их написать, эти правила.
А я где-то запрещал делать иначе, или говорил, это этот способ единственно кошерный?
Ты можешь лучше - да пожалуйста. Я спорить не собираюсь.
Вот только не забывай, что подход "кому как нравится" чреват очень разнообразной гадостью.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн reanim

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #17 : 07 Июля 2010, 21:46:04 »
Объясните:Если просто положить исполняемый скрипт в /etc/network/if-up.d/ он должен загружаца при перезагрузке или нужны еще какие то действия??

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #18 : 07 Июля 2010, 21:55:41 »
Объясните:Если просто положить исполняемый скрипт в /etc/network/if-up.d/ он должен загружаца при перезагрузке или нужны еще какие то действия??
Он будет исполняться после каждого поднятия интерфейса. Соответственно после перезагрузки в том числе.

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #19 : 07 Июля 2010, 23:06:37 »
При условии, что в имени скрипта нет точек.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн lone_wolf

  • Активист
  • *
  • Сообщений: 295
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #20 : 05 Августа 2010, 21:25:31 »
При условии, что в имени скрипта нет точек.

то есть если к примеру будет skript.sh то он не загрузится ? а для того чтоб загрузился надо давать имя skript ?

З.Ы. знаю я как всегда туплю  :-[

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #21 : 06 Августа 2010, 17:18:00 »
У меня были проблемы, пока скрипт был назван iptables.rules.
Случайно, в совсем другом мане глаз зацепился за перечисление допустимых символов для имени скрипта (если не ошибаюсь, это относится к run-parts). Как только поменял точку на тире, всё забегало и до сих пор бегает без сбоев.
Для скриптов, исполняемых через run-parts, строго НЕ рекомендуется давать имена, не отражающие цели исполнения скрипта. Иначе замучаешься помнит, что зачем надо.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн nvkz

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #22 : 11 Августа 2010, 00:30:25 »
Объясните:Если просто положить исполняемый скрипт в /etc/network/if-up.d/ он должен загружаца при перезагрузке или нужны еще какие то действия??
Он будет исполняться после каждого поднятия интерфейса. Соответственно после перезагрузки в том числе.
Да, в скрипте придеться фильтровать по переменной $IFACE...

Наверно правильнее запускать через демон, в убунте поумолчанию ставиться ufw.
https://help.ubuntu.com/10.04/serverguide/C/firewall.html
там свои правила можно прописывать вроде в /etc/ufw/before.rules
хотя можно и свой велосипед написать, кинуть скрипт в /etc/init.d/ и прописать через update-rc.d

Сам использую firehol, в нем тоже можно через iptables правила писать.

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #23 : 11 Августа 2010, 11:30:03 »
Да, в скрипте придеться фильтровать по переменной $IFACE...
Зачем?

Наверно правильнее запускать через демон, в убунте поумолчанию ставиться ufw.
ufw - самодостаточный костыль, который срёт в таблицы файрвола от души несмотря на ожидания пользователя. Во избежание путаницы в таблицах нужно юзать для настройки файрвола либо только ufw либо только iptables, но не вместе, иначе всё еще больше усложняется и запутывается..

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #24 : 11 Августа 2010, 15:38:13 »
Да, в скрипте придеться фильтровать по переменной $IFACE...
Зачем?

Вот уж воистину "зачем". Скрипт загружает снимок правил в память нетфильтра целиком, перезаписывая всё, что там могло быть до его исполнения. В отличие от скриптов, вызывающих iptables многомногораз, такой подход не грозит распуханием таблиц из-за дубликации правил.

P.S. Поправил первый пост, ещё какие комментарии остались?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн nvkz

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #25 : 11 Августа 2010, 17:09:05 »
Да, в скрипте придеться фильтровать по переменной $IFACE...
Зачем?
При запуске networking, для каждого интерфейса будет запускать скрипт, это нестрашно просто криво.

Вот уж воистину "зачем". Скрипт загружает снимок правил в память нетфильтра целиком, перезаписывая всё, что там могло быть до его исполнения. В отличие от скриптов, вызывающих iptables многомногораз, такой подход не грозит распуханием таблиц из-за дубликации правил.
Как я понял /etc/ufw/before.rules и грузиться как снимок...
« Последнее редактирование: 11 Августа 2010, 17:29:06 от nvkz »

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #26 : 11 Августа 2010, 19:02:26 »
Ага, конечно. Я потратил полтора часа на выковыривание ufw из системы. Больше я так ошибаться не намерен.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн coolman

  • Участник
  • *
  • Сообщений: 156
  • :)
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #27 : 10 Сентября 2010, 17:44:49 »
Как то мудрено, у меня скрипт в /etc/init.d/ лежит под именем firewall его редактирую.
iptables

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #28 : 10 Сентября 2010, 18:46:35 »
Сочувствую.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн shaulyn

  • Участник
  • *
  • Сообщений: 163
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
Re: Автозагрузка правил iptables (Lazymode)
« Ответ #29 : 24 Сентября 2010, 11:02:46 »
по мне дак самое удобное создать скрипт с правилами, выставить права на скрипт и прописать в rc.local
« Последнее редактирование: 24 Сентября 2010, 11:06:45 от shaulyn »
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

 

Страница сгенерирована за 0.05 секунд. Запросов: 25.