* [devel] alterator-net-iptables news
@ 2009-11-12 15:23 Vladislav Zavjalov
2009-11-12 22:13 ` Michael Shigorin
0 siblings, 1 reply; 3+ messages in thread
From: Vladislav Zavjalov @ 2009-11-12 15:23 UTC (permalink / raw)
To: ALT Linux Team development discussions
(пишу сюда, поскольку список devel-conf куда-то делся...:)
Сегодня добавил в alterator-net-iptables функциональность, которая
может оказаться кому-то полезной... А кому-то - все запутать :)
Как известно, в основе всей этой системы лежит мега-скрипт
alterator-net-iptables(1). Он хранит свою конфирурацию и генерит
из нее конфигурацию для iptables в etcnet.
Различные программы и модули альтератора (Брандмауэр, Черный список,
Ограничение доступа из внутренних сетей, Перенаправление портов)
обращаются к этому скрипту для произведения нужных настроек. Этим
достигается согласованность всех настроек и возможность работать в
терминах более высокого уровня, отличными от терминов iptables
Была запрошена и реализована возможность вручную менять правила
iptables произвольным образом через web-интерфейс. Сделано это так:
alterator-net-iptables специальной командой может переводиться в
режим, при котором он обновляет свою конфигурацию как обычно, но не
коммитит ее в систему.
После этого можно исправлять таблицы iptables (для этого сделан
специальный модуль альтератора). При выходе из режима ручных настроек
все настройки от alterator-net-iptables восстанавливаются.
В обычном режиме модуль ручных настроек позволяет просматривать правила
iptables, записанные в etcnet.
В режиме ручных настроек, все изменения, сделанные в прочих модулях,
сохраняются, но не коммитятся в систему. В интерфейсе модулей об этом
сделано соответствующее предупреждение (вероятно, похожее предупреждение
следует сделать и в "чужих" модулях, использующих
alterator-net-iptables).
см. alterator-net-iptables-4.16-alt1
Слава
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [devel] alterator-net-iptables news
2009-11-12 15:23 [devel] alterator-net-iptables news Vladislav Zavjalov
@ 2009-11-12 22:13 ` Michael Shigorin
2009-11-12 23:14 ` Vladislav Zavjalov
0 siblings, 1 reply; 3+ messages in thread
From: Michael Shigorin @ 2009-11-12 22:13 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Thu, Nov 12, 2009 at 06:23:17PM +0300, Vladislav Zavjalov wrote:
> Этим достигается согласованность всех настроек и возможность
> работать в терминах более высокого уровня, отличными от
> терминов iptables
А не было попытки посмотреть уже существующие генераторы правил
из высокоуровневых описаний? Их же куча и так (вспоминается
shorewall, сам не применял ничего, кроме синтаксического сахара
в etcnet).
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [devel] alterator-net-iptables news
2009-11-12 22:13 ` Michael Shigorin
@ 2009-11-12 23:14 ` Vladislav Zavjalov
0 siblings, 0 replies; 3+ messages in thread
From: Vladislav Zavjalov @ 2009-11-12 23:14 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, Nov 13, 2009 at 12:13:19AM +0200, Michael Shigorin wrote:
> On Thu, Nov 12, 2009 at 06:23:17PM +0300, Vladislav Zavjalov wrote:
> > Этим достигается согласованность всех настроек и возможность
> > работать в терминах более высокого уровня, отличными от
> > терминов iptables
>
> А не было попытки посмотреть уже существующие генераторы правил
> из высокоуровневых описаний? Их же куча и так (вспоминается
> shorewall, сам не применял ничего, кроме синтаксического сахара
> в etcnet).
Нет, это все скорее выросло из переписывания старого
alterator-net-iptables под очень простые и конкретные задачи.
И, в общем, я не жалею. Придумалась (спасибо vitty@) довольно простая
схема с маленьким числом сущностей, в рамках которой мне довольно
хорошо в последнее время живется. Все хитрые пожелания получается
красиво и быстро удовлетворять в рамках этой схемы.
Слава
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2009-11-12 23:14 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-11-12 15:23 [devel] alterator-net-iptables news Vladislav Zavjalov
2009-11-12 22:13 ` Michael Shigorin
2009-11-12 23:14 ` Vladislav Zavjalov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git