From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mav@elserv.msk.su>
From: Alex Moskalenko <mav@elserv.msk.su>
Organization: STC Electron-Service
To: sysadmins@lists.altlinux.org
User-Agent: KMail/1.9.3
MIME-Version: 1.0
Content-Disposition: inline
Date: Mon, 7 Aug 2006 19:11:54 +0400
Content-Type: text/plain;
  charset="koi8-r"
Content-Transfer-Encoding: 8bit
Message-Id: <200608071911.54455.mav@elserv.msk.su>
X-Spam-Score: -101.4 (---------------------------------------------------)
X-Spam-Report: Spam detection software,
	running on the system "trishka.elserv.msk.su", has
	identified this incoming email as possible spam. The original message
	has been attached to this so you can view it (if it isn't spam) or
	block similar future email.  If you have any questions, see
	the administrator of that system for details.
	Content analysis details:   (-101.4 points, 5.0 required)
	pts rule name              description
	---- ----------------------
	--------------------------------------------------
	-100 USER_IN_WHITELIST      From: address is in the user's white-list
	-1.4 ALL_TRUSTED Passed through trusted hosts only via SMTP
Subject: [Sysadmins] Etcnet & iptables
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.7
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 07 Aug 2006 15:11:52 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/200608071911.54455.mav@elserv.msk.su/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Здравствуйте!

Пытаюсь разобраться с etcnet, и возникло несколько вопросов.

1. Захотелось прикрутить запуск файрволла к etcnet (etcnet-0.8.3-alt2). 
Наткнулся на то, что при 
создании /etc/net/ifaces/iface/fw/iptables/filter/[INPUT OUTPUT FORWARD] (и 
прочих встроенных в iptables цепочек), etcnet при старте пытается их создать, 
а при остановке - удалить, несмотря на то, что они прописаны 
в /etc/net/ifaces/default/fw/options. Вылечил ситуацию, поправив 
скрипт /etc/net/scripts/functions-fw, заменив $chain на `basename $chain` в 
2х местах проверки на принадлежность цепочки ко встроенным (строки 228 и 
319). В связи с этим вопрос - раз у всех работает, что я изначально сделал не 
так, что у меня работать отказывается?

2. Используя human syntax, написал правило на пропуск RST пакетов. Выглядит 
оно как accept if tcp ....... and tcp-flags RST RST. При этом формируется 
команда iptables -j ACCEPT --protocol tcp ...... -mtcp --tcp-flags RST RST
которую iptables-1.3.5-alt4 кушать отказывается, ругаясь на неизвестный 
аргумент RST. Вылечилось заменой условия на --tcp-flags RST RST - тогда 
etcnet не меняет его при запуске iptables (не добавляет -mtcp) и при этом все 
работает. Вопрос собственно тот же - что я делаю не так?

Заранее спасибо за ответ.

-- 
WBR, Alex Moskalenko