From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dor@ldc.net>
Date: Fri, 25 Mar 2005 08:32:00 +0200
From: "Dmytro O. Redchuk" <dor@ldc.net>
To: community@altlinux.ru
Subject: Re: [Comm] iptables =?koi8-u?Q?=C9_SNAT_-_?=
	=?koi8-u?B?6+HrIOvv8vLl6/Tu7yDz7+jy4e7p9Pgg8+/65OHu7vnlIObp7Pj08vkg6SDw?=
	=?koi8-u?B?8uH36ezh?=
Message-ID: <20050325063200.GA22178@ldc.net>
Mail-Followup-To: community@altlinux.ru
References: <op.sn1u1lm8glg102@post.cnt.ru> <424323CB.4060908@gmail.com>
	<op.sn51egp9glg102@post.cnt.ru> <200503250841.49102.combr@vesna.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-u
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <200503250841.49102.combr@vesna.ru>
User-Agent: Mutt/1.4.2.1i
X-Virus-Scanned: clamd / ClamAV version 0.74, clamav-milter version 0.74a
	on backup.ldc.net
X-Virus-Scanned: amavisd-new at ldc.net
X-Virus-Status: Clean
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 25 Mar 2005 06:32:02 -0000
Archived-At: <http://lore.altlinux.org/community/20050325063200.GA22178@ldc.net/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Fri, Mar 25, 2005 at 08:41:49AM +0400, Mike Lykov wrote:
> Алгоритм очень простой:
> 1. iptables -A/D/любое
> (начинает действовать)
> 2. iptables -A/D/любое
> (начинает действовать)
> 3 повторять до удовлетворения
> 4. проверить iptables -L
> 5. service iptables save
> 
> ВСЁ!
Я "готов согласиться" с тем, что "скрипт проще править". Поэтому можно
(мне кажется -- допустимо;) создать хорошо откомментированный скрипт *), в
который можно будет так же просто в нужное место добавить строчку. И вот
как раз при добавлении строчки этим скриптом можно всё это дело и
запускать.

После чего пренепременно iptables save -- и ни в коем случае не пихать в
стартовые скрипты что-то своё ;-)

_____
 *) У меня была площадка с двумя внутренними сетками и двумя каналами на
    разных провайдеров. При этом policy routing по маркам в iptables, и
    куча правил для просто accounting и просто куча... Добавлять руками и
    при этом не промахнуться -- возможно, но... Из серии "Никогда не
    повторяйте удачный эксперимент" :О) И поэтому у меня был добрый
    десяток скриптов.  Думаю, что всё это делать руками -- неоправданный
    героизм :-) Или "job security" -- "делать свою работу так, чтобы никто
    другой не смог это сделать" (что ещё  хуже, конечно).

> 
> если нужно, указывать имя таблицы через -t
> 
> PS и не читайте плохо применимых советов типа " Некоторые предлагают создать 
> исполняемый файл со всем наработанным и каждыйраз его стартовать при 
> перезагрузке"
> 
> Это ненужный, ручной метод. От этого избавляют уже готовые стартовые скрипты 
> сервиса iptables.
> 
> -- 
> Mike Lykov
> Samara, "Vesna" parfum company, System administrator 

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk